- CVE-2025-55182 в React и CVE-2025-66478 в Next.js позволяват неавторизирано дистанционно изпълнение на код чрез протокола „Flight“ на React Server Components.
- Грешката произтича от опасна десериализация на създадени RSC полезни товари и засяга много рамки в тяхната конфигурация по подразбиране.
- Изследователите са наблюдавали близо 100% надеждност на експлойтите и са изчислили, че приблизително 39–40% от облачните среди използват уязвими React/Next.js инстанции.
- Незабавните ъпгрейди до подсилените версии на React и Next.js са единственото окончателно смекчаване, като доставчиците вече доставят корекции и насоки.
През последните няколко дни екипи по сигурността по целия свят се надпреварват да оценят два новоразкрити бъга в екосистемата на React: CVE-2025-55182 в компонентите на React Server и CVE-2025-66478 в Next.jsТези недостатъци отварят вратата за пълно дистанционно изпълнение на код на сървъри и предизвикват тревога, защото могат да бъдат задействани без удостоверяване и с много малко усилия от страна на нападателя.
Проблемът засяга ядрото на съвременната JavaScript инфраструктура. React и Next.js захранват всичко - от малки странични проекти до платформи, използвани от големи предприятия, и значителна част от облачните натоварвания разчитат на тях. Изследователите предупреждават за... предстояща масова експлоатация и почти перфектна надеждност на експлоатациятаЕкипите за разработка и експлоатация са призовани да поставят актуализациите на първо място в списъците си със задачи.
Какво всъщност представляват CVE-2025-55182 и CVE-2025-66478
В основата на проблема се крие Протокол „Flight“ на React Server Components (RSC), механизъм, въведен за обработка на потоци на рендериране, управлявани от сървъра. CVE-2025-55182 е идентификаторът, присвоен на уязвимостта в собствения код на React. react-server пакет, докато CVE-2025-66478 покрива съответния недостатък в Next.js, който вгражда и разширява този протокол.
Уязвимостта е по същество грешка в логическата десериализация в начина, по който се обработват полезните товари на RSCКогато сървър получи специално създаден, деформиран полезен товар Flight, имплементацията не успява да валидира напълно структурата, преди да действа върху нея. Този пропуск позволява на контролираните от атакуващия данни да се промъкнат на места, където могат да повлияят на изпълнението от страна на сървъра.
На практика това означава, че нападателят може да изпрати един-единствен създадена HTTP заявка към React Server Function или RSC endpointКогато сървърът десериализира този полезен товар, той може да бъде принуден да изпълни произволен JavaScript код с привилегиите на сървърния процес, превръщайки една проста заявка в пълноценно отдалечено изпълнение на код (RCE).
Екипите по сигурност и доставчиците описват и двете CVE като имащи максимален CVSS резултат от 10.0, най-високата възможна оценка. Това отразява комбинацията от отдалечена достъпност, липса на изисквания за удостоверяване и потенциал за пълно компрометиране на засегнатата среда.
Защо са изложени конфигурациите по подразбиране
Един детайл, който е предизвикал особено безпокойство, е, че тези бъгове засягат стандартни настройки без необичайна конфигурацияТипично Next.js приложение, генерирано с create-next-app, компилиран за производство и внедрен с опции по подразбиране, може да бъде уязвим веднага след инсталирането му.
Същото важи и за много други RSC-базирани рамки и инструменти, които обединяват react-server изпълнениеТъй като са възприели протокола Flight, както го е проектирал React, те са наследили опасното поведение на десериализация. Разработчиците не е необходимо да добавят никакви екзотични функции или персонализирана логика за парсиране, за да може уязвимостта да бъде експлоатирана.
Тази експозиция по подразбиране повишава риска нападателите да сканиране в интернет за крайни точки на RSC или сървърни функции и бързо се натъкват на жизнеспособни цели. Няма нужда от откраднати идентификационни данни или предварително съществуващ достъп: ако съответните крайни точки са достъпни от публичния интернет и изпълняват уязвими версии, те са в опасната зона.
Изследователите по сигурност подчертават, че дори организации със зрели програми за сигурност могат да бъдат засегнати, защото RSC често се активира имплицитно чрез актуализации на рамката и шаблони., и някои екипи може да не осъзнават, че го използват в продукцията.
Обхват на въздействието в екосистемите на React и Next.js
Многобройни анализи стигат до един и същ извод: мащабът на потенциалния радиус на взрива е необичайно голям. Данните от Wiz Research показват, че около 39% до 40% от облачните среди съдържат инстанции на React или Next.js, уязвими към CVE-2025-55182 и/или CVE-2025-66478.Това е значителна част от приложния слой на публичния интернет.
Проблемът не се ограничава само до самостоятелни инсталации на React. Next.js, в частност, е изключително разпространен: появява се в близо 69% от наблюдаваните среди в някои набори от данни, като повечето от тях използват публично достъпни приложения Next.js. Тази комбинация означава, че значителна част от облачните инфраструктури излагат уязвимите крайни точки директно на ненадежден трафик.
По отношение на специфичните компоненти, проблемът засяга Реагирай 19.0, 19.1.0, 19.1.1 и 19.2.0 серии, които включват дефектните react-server имплементация. От страна на рамката, няколко популярни инструмента, които интегрират RSC, също са замесени. Въпреки че точното въздействие варира, списъкът с технологии, свързани с уязвимия протокол, включва:
- Next.js
- Плъгин Vite RSC (
@vitejs/plugin-rsc) - Плъгин за RSC на парцели (
@parcel/rsc) - Преглед на React Router RSC
- RedwoodSDK
- Уаку
Изследователите подчертават това всяка рамка или библиотека, обединяваща засегнатите react-server изпълнение вероятно ще бъде в обхвата, дори и да не е изрично посочен в ранните препоръки. Организациите се съветват да направят инвентаризация на използването на RSC в инструменти за изграждане, предварителни версии и пилотни проекти, а не само в производствени приложения с висок трафик.
Доставчиците на облачни услуги също започнаха да реагират. Например, един доставчик отбеляза, че Неговите стандартни публични образи на операционната система за виртуални машини не се доставят с активирани по подразбиране уязвими React компоненти., въпреки че това не защитава работните натоварвания, при които клиентите сами инсталират и конфигурират React или Next.js.
Как работи експлоатацията и защо надеждността е толкова висока
Въпреки че доставчиците умишлено скриват някои от детайлите на експлоатацията на ниско ниво, за да дадат време на защитниците да я закърпят, общият план е публичен. На високо ниво, нападателят трябва само да създаване на HTTP заявка, която носи специфичен деформиран RSC полезен товар насочена към крайна точка на сървъра, която анализира данните от React Flight.
Тъй като уязвимият път на кода е част от стандартната логика за десериализация, няма изискване жертвата да кликва върху каквото и да е, да влиза в системата или да изпълнява многоетапен работен процес. Стига атакуващият да може да достигне крайна точка на сървърна функция или RSC, той може да се опита да... задействат опасната десериализация и насочват изпълнението към собствения си полезен товар.
При тестовете екипите по сигурност съобщиха, че експлоатацията е показала „висока прецизност“, с процент на успех, приближаващ се до 100% след като конфигурацията на целта бъде разбрана. Този вид надеждност е необичайна за отдалечени експлойти и увеличава вероятността нападателите да автоматизират сканирането и да компрометират в голям мащаб.
Експертите също предупреждават, че Вече публичните корекции и препоръки ефективно служат като пътна карта за обратно инженерствоДори ако кодът за експлойт все още не е широко разпространен, злонамерените лица могат да изучат разликите между уязвимите и фиксираните версии, за да реконструират уязвимата логика и да я превърнат в оръжие, подобно на riesgo a la. кадър от министрите на npm.
Към последните доклади няма потвърдени случаи на широко разпространена експлоатация „в реално време“, но множество доставчици на решения за сигурност и изследователи очакват това да се промени бързо, тъй като... Нападателите се надпреварват да се възползват от непатчирани системи преди организациите да завършат своите усилия за отстраняване.
Отговори на доставчици и налични корекции
Откриването на CVE-2025-55182 се дължи на изследователят по сигурността Лаклан Дейвидсън, който съобщи за проблема чрез програмата за награди за грешки на Meta. От първоначалното разкриване до пускането на корекции, реакцията беше необичайно бърза, което отразява сериозността на грешката и нейния обхват в цялата уеб екосистема.
Екипът на React е изпратил засилени версии на засегнатите пакетиЗа основната библиотека, поддържащите сочат към актуализации като React 19.0.1, 19.1.2 и 19.2.1 и еквивалентни закърпени варианти на свързани компоненти, като затваряне на специфичната дупка за десериализация в протокола Flight.
От страна на рамката, Vercel, която поддържа Next.js, е получила CVE-2025-66478 надолу по веригата въздействието на същата RSC уязвимост и пусна актуализирани версии на Next.js, които включват коригираното поведение на React Server Components. Тяхното съобщение за сигурност обяснява, че уязвимостта произтича от начина, по който React декодира полезни товари, насочени към Крайни точки на сървърни функции и че кръпката затяга тези процедури за декодиране.
Други рамки и автори на плъгини, които разчитат на RSC – като например разработчиците на плъгини Redwood, Waku и RSC за Vite и Parcel – са започнали да издават собствените им насоки и актуализации на версиите, съобразени с обновените react-server кодПотребителите са насочени да следват специфичните за проекта съобщения и инструкции за надграждане.
Няколко доставчици на търговски услуги за сигурност също са отговорили. Например Wiz публикува предварително изготвена заявка и съвет в своя Център за заплахи, така че клиентите да могат да откриват уязвими случаи в своите среди, докато други доставчици твърдят, че някои защитни стени на уеб приложения могат да блокират някои опити за експлойт ако трафикът на React е правилно маршрутизиран през тях. Въпреки това, поддържащите са категорични, че промените в конфигурацията или правилата на WAF не са заместител на правилното инсталиране на пачове.
Оценка на риска: кой трябва да се тревожи най-много?
Краткият отговор е такъв всяка организация, която използва React 19 или RSC-зависими рамки в производствен режим Трябва да се вземе това насериозно, но някои модели на внедряване се открояват като особено изложени на риск. Публично насочените Next.js приложения, например, представляват изкушаваща цел, защото често се намират директно в интернет и имат RSC функции, активирани по подразбиране.
Организации, които използват интензивно Сървърни функции, маршрутизиране, управлявано от сървъра, предварителни прегледи или експериментални RSC-базирани функции са особено изложени на риск. В тези конфигурации е по-вероятно полезните товари на Flight да се обработват често, което дава на противниците много възможности да тестват полезните товари и да усъвършенстват експлойтите.
Споделените или многонаемателни среди повдигат допълнителни опасения. Ако уязвима React услуга работи с широк достъп до вътрешни ресурси, Успешният RCE може да се превърне в повратна точка за странично движение по-дълбоко в мрежата или през границите на клиента.
Анализаторите също така посочват, че широтата на приемането на React – от компании като Meta, Netflix, Airbnb, Shopify, Walmart и много други—означава, че въздействието в реалния свят не се ограничава само до чисто технически изчисления на риска. Компромис в основен стек от приложения може да има доминиращ ефект върху потребителите, партньорите и екосистемите надолу по веригата.
Накрая, дори отбори, които вярват, че не разчитат в голяма степен на RSC, трябва да проверят това предположение. Защото Инструментите и шаблоните могат тихо да активират функциите на RSC, някои проекти може да са по-уязвими, отколкото техните поддръжници осъзнават на пръв поглед.
Практически стъпки за смекчаване на проблемите за потребители на React и Next.js
В различните препоръки една точка се повтаря последователно: надграждането до пач версии е единственото окончателно решениеНяма флаг за конфигурация или малка промяна, която напълно да неутрализира основното опасно поведение при десериализация, без да се актуализират засегнатите пакети.
За организации, използващи директно React, поддържащите препоръчват преминаване към по-засилените версии – като 19.0.1, 19.1.2, 19.2.1 или по-нови – заедно с актуализираните react-server и свързани RSC пакетиЕкипите трябва да се консултират с официалното съобщение за сигурност на React, за да потвърдят точните версии, които адресират CVE-2025-55182 в своето дърво на зависимости.
Проектите Next.js трябва да надстройте до пачираните версии на рамката, които включват корекцията за CVE-2025-66478Тъй като е достатъчна стандартна версия на Next.js, за да бъде засегната, дори малки сайтове и вътрешни табла за управление заслужават внимание, не само водещите приложения.
За среди, използващи други RSC-съвместими рамки – като Redwood, Waku или RSC плъгини за пакети като Vite и Parcel – съветът е да следете внимателно съобщенията на доставчиците и внедрявайте всички актуализации, които обединяват засилените react-server изпълнение веднага щом станат достъпни. Където е възможно, трябва да се използват тестови среди за валидиране на поведението на приложението, преди да се въведат корекции в производствения процес и да се прилагат на практика като... gestión segura de secretos en GitHub Actions.
Успоредно с инсталирането на корекции, екипите по сигурността могат сканиране за уязвими версии и открити крайни точкиИнструменти от доставчици като Wiz могат да помогнат за идентифициране на местата, където се изпълняват уязвими React или Next.js инстанции, докато скенерите за уеб сигурност и инвентаризациите на активи могат да картографират кои услуги са достъпни от интернет, в сравнение с тези, които са ограничени до вътрешни мрежи.
Какво трябва да следят защитниците в близко бъдеще
Разкриването на CVE-2025-55182 и CVE-2025-66478 илюстрира познат модел: появява се критичен бъг в широко използван компонент, бързо се появяват пачове и след това започва надпревара между защитниците и атакуващите. В този случай комбинацията от... 10.0 CVSS резултат, неавтентична RCE и експозиция по подразбиране прави това състезание особено интензивно.
Изследователите по сигурност очакват, че следващата фаза ще включва бързо обратно инженерство на пластирите от злонамерени лица. Дори без да е публикуван подробен код за доказателство на концепцията, сравняването на стари и нови версии предоставя достатъчно улики на опитните нападатели, за да реконструират уязвимата логика.
Организациите трябва да очакват ръст в сканиране за крайни точки на React и Next.js, както и по-задълбочени HTTP заявки, насочени към URL адреси на сървърни функции и RSC. Системите за регистриране и наблюдение могат да играят роля тук: аномални или деформирани полезни товари на полета, неочаквани грешки по време на десериализация и пикове в заявките към конкретни крайни точки може да са ранни индикатори за опит за експлоатация и инструментите за тестване като Сътрудник на Burp pueden ayudar a reproducir vectores.
Някои защитници също се връщат контрол на защитата в дълбочина около техните React внедрявания. Това може да включва маршрутизиране на трафика през защитни стени на уеб приложения, затягане на мрежовата експозиция на вътрешни услуги и налагане на по-строги конфигурации с най-ниски привилегии за разрешенията по време на изпълнение на приложенията, така че компрометирането да не предоставя автоматично широк достъп.
Екипите за реагиране при инциденти са посъветвани да подгответе се за потенциални разследвания, свързани с тези престъпления, свързани с насилието,Това може да включва актуализиране на наръчниците, осигуряване на запазване на съответните регистрационни файлове достатъчно дълго, за да се анализира подозрително поведение, и установяване на контакти с доставчици на услуги или доставчици на решения за сигурност, които могат да помогнат, ако има съмнение за компрометиране.
Посланието на изследователи, доставчици и доставчици на облачни услуги е последователно: макар че все още не е публично потвърдено широко разпространено използване, техническите условия правят това привлекателна цел и... Изчакването на кръпката значително увеличава рисковия прозорец.
С критични грешки при дистанционно изпълнение на код, като CVE-2025-55182 в React и CVE-2025-66478 в Next.js, практическият извод е лесен: да се приеме, че уязвимите крайни точки на RSC ще бъдат изследвани, да се даде приоритет на надстройките до защитени версии и да се използват наличните инструменти за локализиране и защита на откритите екземпляри.За уеб стек, който силно разчита на React и околните рамки, навременното отстраняване на проблеми сега вероятно ще се отплати при по-малко аварийни ситуации по-късно.
