- CVE-2025-55182 в React и CVE-2025-66478 в Next.js позволяват неавторизирано дистанционно изпълнение на код чрез протокола React Server Components Flight.
- Проблемът произтича от опасна десериализация на създадени RSC полезни товари, което засяга конфигурациите по подразбиране в популярните рамки.
- Изследователите отчитат близо 100% надеждност на експлоатация и изчисляват, че около 39–40% от облачните среди включват уязвими екземпляри.
- Незабавните ъпгрейди до подсилени версии на React и Next.js са единственото окончателно смекчаване; защитниците също трябва да одитират всяка рамка, активирана с RSC.
През последните няколко дни екосистемата на JavaScript се бори с два... уязвимости в сигурността с максимална тежест в React и Next.js, които отварят вратата за дистанционно изпълнение на код на засегнатите сървъри. Недостатъците, обозначени като CVE-2025 55182- за React и CVE-2025 66478- за Next.js, се фокусирайте върху това как компонентите на React Server обработват специализиран мрежов трафик в така наречения протокол Flight.
Защото тези проблеми засягат конфигурации на рамката по подразбиране и могат да бъдат задействани само с специално създадена HTTP заявка, те бързо се изкачиха начело на списъците с корекции на много екипи по сигурността. Доставчици, изследователи и доставчици на облачни услуги вече са обединени около едно и също послание: незабавно инсталирайте корекции, оценете експозицията и се подгответе за широкомащабно сканиране и опити за експлоатация.
Какво всъщност представляват CVE-2025-55182 и CVE-2025-66478
В основата на проблема е недостатък в пакет react-server, компонентът, който захранва React Server Components (RSC) и протокола Flight. В уязвимите версии сървърът приема специално оформени RSC полезни товари и десериализира ги без адекватна валидация, което позволява на контролирани от хакера данни да пречат на логиката, работеща на сървъра.
Това поведение превръща това, което би трябвало да са структурирани данни, в средство за изпълнение на привилегирован JavaScript на backend-а. Когато HTTP заявка е насочена към RSC или Server Function endpoint със злонамерен полезен товар Flight, опасният път на десериализация може да бъде злоупотребен за постигане на неавторизирано отдалечено изпълнение на код (RCE). Не се изисква предварителен достъп, идентификационни данни или взаимодействие с потребителя.
Страната React на проблема се проследява като CVE-2025 55182-, оценен на върха на скалата с CVSS резултат от 10.0. Тъй като Next.js имплементира RSC и протокола Flight върху тези примитиви, той наследява същата основна слабост; това въздействие надолу по веригата е присвоено CVE-2025 66478- и носи същата степен на тежест.
Съветите за сигурност описват грешката като уязвимост към логическа десериализация а не класически проблем със сигурността на паметта. Неуспехът е в начина, по който полезните товари се анализират и доверяват, а не в обработката на ниско ниво на буфериране. Въпреки това резултатът е също толкова сериозен: отдалечен атакуващ може да управлява изпълнението от страна на сървъра.
Кои настройки на React и Next.js са уязвими
Въздействието на уязвимостта Сървърният стек на React 19 в няколко често използвани версии. Поддръжниците са определили версии като 19.0, 19.1.0, 19.1.1 и 19.2.0 като уязвими за react-server пакета и неговата имплементация на протокола Flight. Пачваните клонове се разпространяват като 19.0.1, 19.1.2 и 19.2.1, които въвеждат засилена логика за десериализация.
От страна на рамката, Next.js е засегнат веднага щом е инсталиранТипично приложение, генерирано с create-next-app, създаден за производство и внедрен с настройки по подразбиране, може да бъде експлоатиран без допълнителен код, добавен от разработчика. Vercel, компанията, стояща зад Next.js, издаде собствено предупреждение под CVE-2025-66478 и пусна актуализирани версии на рамката, които използват фиксираните React пакети.
Въздействието не се ограничава само до Next.js. Всеки компонент на екосистемата, който свързва се или се включва в компоненти на React Server и протоколът Flight вероятно е разкрит. Това включва, наред с други инструменти и рамки, като например:
- Next.js
- @vitejs/plugin-rsc (Плъгин Vite RSC)
- @парцел/rsc (Плъгин за колети RSC)
- Преглед на React Router RSC
- RedwoodSDK / rwsdk
- Уаку
Изследователските екипи подчертаха, че конфигурациите по подразбиране обикновено са изложени на рискС други думи, дори ако разработчикът не е активирал умишлено експериментални флагове или необичайни настройки, неговото внедряване все още може да бъде експлоатирано, ако използва засегната версия на React Server Components.
Колко лесна е експлоатацията и защо защитниците са притеснени
Това, което разтревожи общността по сигурността, е ниска бариера за експлоатацияМногобройни изследователски групи съобщават, че атакуването на тези недостатъци изисква само изпращане на специално създадена HTTP заявка до достижима RSC или крайна точка на сървърна функция. Няма нужда от удостоверяване, сложни предварителни условия или взаимодействие с потребителя, което прави сценария особено привлекателен за автоматизирани атаки.
В контролирани тестове, екипи като Wiz Research са създали работещи експлойти за доказателство на концепцията и са наблюдавали почти 100% надеждност при задействане на RCE при уязвими конфигурации. Въпреки че тези пълни полезни товари все още не са пуснати, консенсусът е, че основното поведение е достатъчно просто, че други могат да реконструират работещи експлойти, като изучават публичните пачове.
Предвид популярността на React и Next.js, няколко експерти смятат, че Масовото сканиране и въоръжаването са само въпрос на времеИма ранни сравнения с други силно въздействащи сървърни недостатъци, при които експлоатацията се е увеличила рязко след разпространението на технически подробности и примерен код в подземни общности или публични хранилища.
Изследователите също така подчертават широта на потенциалните целиReact е в основата на сайтове и приложения в големи организации в социалните медии, електронната търговия, стрийминга, SaaS и други. Фреймворкове като Next.js се използват широко както за вътрешни, така и за клиентски приложения, което означава, че уязвимите екземпляри могат да се появят дълбоко в корпоративните мрежи, както и на публични фронтендове.
По времето, когато много от препоръките бяха публикувани, имаше няма потвърдени съобщения за експлоатация в дивата природаАнализаторите обаче казват, че е разумно да се предположи, че злонамерените лица вече извършват обратно инженерство на корекциите и картографират кои хостове са достъпни и неправилно конфигурирани.
Колко широко е разпространено излагането в облачните среди
Няколко данни от сканирания в облачен мащаб илюстрират мащаба на проблема. Ловците на заплахи в Wiz съобщават, че около 39% от облачните среди Те анализираха, съдържащи случаи на React или Next.js, изпълняващи версии, уязвими към CVE-2025-55182 и/или CVE-2025-66478. Други разбивки доближават цифрата до 40%, когато двете технологии се броят заедно.
Ако разгледаме конкретно Next.js, самата рамка се показва приблизително в 69% от средите в техния набор от данни. От тях значително мнозинство от хостовете публично достъпни приложения изграден върху Next.js. С други думи, тяхната телеметрия предполага, че около 44% от всички облачни среди да има поне един екземпляр на Next.js, достъпен в интернет, независимо дали в момента е актуализиран.
Тази комбинация от висока гъстота на разполагане и обществено излагане е точно това, което търсят нападателите, когато избират в кои уязвимости да инвестират усилия. Една верига от експлойти може да бъде използвана повторно в голям мащаб срещу много цели с подобни настройки, а автоматизирани инструменти могат да претърсят цели IP диапазони, за да намерят непатчирани сървъри.
Някои доставчици работят за стесняване на радиуса на взрива. Например, Google посочи, че стандартни публични образи на операционната система използвани в Compute Engine на Google Cloud, не са уязвими веднага след инсталирането им, въпреки че клиентите все още трябва да одитират и да актуализират всички приложения, които внедряват върху тези изображения.
Доставчици, които предлагат Защитни стени за уеб приложения (WAF) също се включват в дискусията. Cloudflare, например, предположи, че техният WAF може да помогне за защитата на някои React приложения от опити за експлоатация, когато трафикът е изцяло насочен през услугата, въпреки че подобни защити е най-добре да се разглеждат като допълнителен слой, а не като заместител на актуализирането на основния софтуер.
Хронология, откриване и отговор на доставчика
Веригата от събития около CVE-2025-55182 и CVE-2025-66478 се разгърна бързо. Изследовател по сигурността Лаклан Дейвидсън идентифицира проблема в начина, по който React декодира полезни товари, насочени към крайните точки на React Server Function, и го докладва чрез програмата за награди за грешки на Meta в края на ноември.
React, първоначално разработен в Meta и сега крайъгълен камък на много съвременни уеб стекове, се раздвижи бързо след потвърждаването на доклада. В рамките на приблизително четири дниЕкипът на React, в координация с Meta, издаде спешни актуализации за засегнатите 19.x линии, заедно със съобщение за сигурност, призоваващо за незабавни ъпгрейди.
На същия ден, Версел обяви собствено предупреждение за Next.js под CVE-2025-66478. Поддръжниците на рамката публикуваха пачове, насоки за потребителите и подробности за това как RSC имплементацията в Next.js наследява уязвимото поведение от сървърните библиотеки на React.
Много от публичните публикации са умишлено пропускане на подробни подробности за експлоатацията стъпка по стъпка засега. Вместо това, те се фокусират върху обяснение на риска, изброяване на засегнатите компоненти и версии и насочване на потребителите към актуализирани компилации. Целта е да се даде време на защитниците да внедрят корекции, като същевременно се забавят по-малко опитните нападатели.
Гласове от индустрията, включително изследователи от компании като watchTowr и Rapid7, повториха посланието, че това е проблем с висок приоритет за всеки, който използва React или Next.js в продукцияи че прозорецът преди публичното използване на повърхността може да е кратък.
Какво трябва да направят отборите в момента
За организации, използващи React Server Components, Next.js или някой от RSC-съвместимите плъгини и рамки, най-ясното ръководство е, че надграждането до засилени версии е единственото пълно смекчаване на рискаНяма превключвател за конфигурация, който безопасно да неутрализира грешката, като същевременно остава само на уязвимите версии.
От страна на React, това означава преминаване от засегнатите 19.x компилации, като например 19.0, 19.1.0, 19.1.1 и 19.2.0 към 19.0.1, 19.1.2 или 19.2.1, в зависимост от това към кой клон е закачен проектът. Тези версии включват по-строги проверки около полезните товари на протокола Flight и елиминират опасното поведение при десериализация.
За потребителите на Next.js препоръката е да актуализация на изданията на пачовете на рамката обявено в съобщението на Vercel, като се гарантира, че дървото на зависимостите изтегля фиксираните пакети на React сървъра. Дори проекти, които не използват изрично RSC в собствения си код, все още могат да бъдат изложени на риск, ако рамката активира сървърни компоненти „под капака“.
Екипите, които разчитат на други RSC-съвместими стекове — включително Redwood, Waku, React Router RSC preview и RSC плъгини за Vite и Parcel — трябва следете официалните канали от тези проекти. Много от тях обединяват свои собствени копия на средата за изпълнение на React сървъра, така че техните поддържащи публикуват специфични инструкции за актуализация и номера на версии, които да се търсят.
За организации с голям облачен отпечатък може да е трудно да се разбере къде се намират всички уязвими компоненти. Някои доставчици на решения за сигурност, като например Wiz, предлагат предварително изготвени запитвания и съвети в рамките на своите платформи, за да помогнат на клиентите да идентифицират засегнатите екземпляри на React и Next.js в различни среди. Други предоставят логика за откриване и правила за сканиране, достъпни за адаптиране от вътрешните екипи по сигурност.
Какво означава това за по-широката уеб екосистема
Появата на CVE-2025-55182 и CVE-2025-66478 предизвиква по-широка дискусия за това как... Сървърните JavaScript рамки обработват сложни формати за сериализацияRSC и протоколът Flight са мощни инструменти за изграждане на съвременни приложения, но същата гъвкавост, която позволява разширени функции, може да въведе и фини повърхности за атака, ако логиката на парсиране не е внимателно заключена.
За разработчиците този епизод е напомняне, че разчитането на поведението на рамката по подразбиране не гарантира безопасност и важността на защитата срещу атаки срещу веригата за доставки срещу нови доставчици (npm)В този случай, обикновените, шаблонни настройки бяха достатъчни, за да изложат приложението на неавтентично RCE. Спазването на съветите за сигурност, закрепването на зависимости и бързото прилагане на актуализации се превръщат в неотменими задачи за екипите, които предоставят услуги, базирани на React или Next.js.
От защитна гледна точка, организациите използват това събитие, за да преразгледат своите многослойни стратегии за защитаИнсталирането на корекции е на преден план, но много от тях също така обмислят затягане на контрола за достъп до административни или вътрешни крайни точки, внедряване на WAF правила за откриване на подозрителен трафик на протокола Flight и подобряване на наблюдаемостта около грешки от страна на сървъра, които биха могли да показват опити за експлоатация.
Ситуацията също така подчертава до каква степен интернет сега зависи от сравнително малък набор от споделени компоненти с отворен кодЕдин-единствен бъг в широко разпространена библиотека може да се разпространи през доставчици на облачни услуги, SaaS платформи и корпоративни среди само за няколко дни. Координираното разкриване, бързата реакция на доставчиците и ясната комуникация стават критични, когато толкова много организации са засегнати едновременно.
Засега фокусът е върху прехвърлянето на уязвими инсталации на React и Next.js към фиксирани версии, преди... експлоатацията се превръща в рутинаТъй като изследователите съобщават за почти перфектна надеждност на експлойтите, конфигурациите по подразбиране са уязвими и значителна част от облачните среди, работещи със засегнати версии, тези CVE бързо се превърнаха от неясни подробности за протокола в належащ оперативен проблем за екипите, поддържащи съвременни JavaScript приложения.
