- CVE-2025-55182 и CVE-2025-66478 позволяват неавторизирано дистанционно изпълнение на код чрез протокола React Server Components Flight.
- Недостатъкът се състои в несигурната десериализация на полезните товари на RSC в
react-serverвнедряване, засягащо конфигурациите по подразбиране. - Next.js и други RSC-базирани рамки наследяват проблема, излагайки на риск голяма част от приложенията, хоствани в облак.
- Доставчиците са пуснали подсилени актуализации; надграждането на React, Next.js и други RSC рамки е единственото надеждно средство за смекчаване на проблема.
Откриването на CVE-2025-55182 в React и неговият спътник CVE-2025-66478 в Next.js изпрати ясен предупредителен удар в света на съвременния уеб дизайн. Тези проблеми излагат сървърите, използващи React Server Components (RSC) и рамки, които имплементират RSC „Flight“ протокола, на неавторизирано дистанционно изпълнение на код, дори когато работят с напълно стандартна, готова за употреба конфигурация.
Това, което прави тази ситуация особено тревожна, е как малко усилия, необходими на нападателя да се използва недостатъкът като оръжие: една специално създадена HTTP заявка, насочена към уязвима крайна точка, може да бъде достатъчна, за да изпълни произволен код на сървъра. С голям дял от облачните среди, разчитащи на React и Next.js, спешната нужда администраторите и разработчиците да внедрят корекции е трудно да се надцени.
Разбиране на CVE-2025-55182 и CVE-2025-66478
CVE-2025-55182 се отнася до основния бъг в react-server пакетът, компонентът, който е в основата на компонентите на React Server и техния протокол „Flight“. Този пакет е отговорен за обработката на специализираните полезни товари, използвани при стрийминг на компоненти, рендирани от сървъра, към клиента, механизъм, който е централен за новата екосистема на React 19.
Паралелно, CVE-2025-66478 улавя въздействието върху Next.js, който интегрира React Server Components и използва повторно същия основен протокол. Тъй като Next.js се изгражда директно върху тази RSC инфраструктура, всяка слабост в протокола се наследява незабавно от типичните Next.js приложения, включително тези, стартирани с инструменти като create-next-app.
И двата идентификатора описват критични, неудостоверени уязвимости за дистанционно изпълнение на кодЕкипите по сигурността са ги оценили с максимални оценки за сериозност, което отразява не само техническото им въздействие, но и факта, че експлоатацията е възможна в реални сценарии на внедряване без сложни предварителни изисквания.
Изследователите също така отбелязват, че засегнатото поведение е активирана по подразбиране в много конфигурации. Това означава, че приложенията не е необходимо да използват необичайни модели или да добавят рискови опции, за да бъдат изложени на риск; простото приемане на текущи RSC-базирани стекове може да бъде достатъчно, за да наследи уязвимостта.
Зад кулисите проблемът произтича от начина, по който Полезните товари на RSC се приемат и обработват чрез логиката от страна на сървъра. Вместо щателна валидация и ограничаване на ненадеждния вход, процесът на десериализация позволява на контролираните от атакуващия данни да оформят пътищата за изпълнение на сървъра.
Как протоколът Flight се превръща в път към RCE
Основната причина зад CVE-2025-55182 в компонентите на React Server е логически недостатък в десериализацията при обработката на протокола RSC „Flight“. RSC използва специализиран формат за свързване, за да опише дървета на компоненти, свойства и действия на сървъра, които сървърът кодира, а клиентът декодира като част от рендирането.
Когато сървърът получи Злонамерено формиран полетен товар, трябва да третира всяка част от тези данни като ненадеждна. Вместо това, уязвимата имплементация обработва този вход по начин, който ефективно му позволява да влияе върху привилегированото поведение от страна на сървъра. Стъпката на опасна десериализация се превръща в мост между враждебни данни и JavaScript код, работещ с пълни сървърни привилегии.
Изследователите по сигурността описват този клас проблеми като несигурна десериализация: приложението приема сложни входни структури, реконструира обекти или потоци на изпълнение от тях и не успява да постави силни предпазни мерки около това, което е позволено на тези реконструирани обекти. В този случай, то отваря вратата за нападател, насочващ изпълнението към произволни кодови пътища.
По време на тестовете, изследователските екипи съобщиха почти перфектна надеждност при опит за експлоатацияАтаките с доказателство за концепция, макар и да не са напълно разкрити за ограничаване на опортюнистичните злоупотреби, са показали, че постигат дистанционно изпълнение на код с успеваемост близо до 100%. Единственото практическо изискване е възможността за доставяне на изработена HTTP заявка до изложена RSC крайна точка.
Следователно атаката е отдалечено и неавтентичноНе са необходими валидна сесия, изтекъл токен и предишен опит. Публично достъпно Next.js или друго RSC-базирано приложение, което не е актуализирано, може да бъде проверено и, ако е уязвимо, компрометирано.
Кой и какво е засегнато
Тъй като уязвимостта се корени в имплементация на core react-server, неговото въздействие се простира отвъд самия React и Next.js до всяка рамка, която обединява или интегрира RSC по подобен начин. Това направи обхвата на потенциалното излагане значително по-широк от една единствена библиотека или продукт, поддържан от доставчик.
Публичните анализи подчертаха Next.js като най-известната низходяща цел, предвид популярността му и дълбоката му RSC интеграция. Данните, събрани от Wiz Research, показват, че значителен дял от облачните среди използват версии на React или Next.js, които попадат в уязвимия диапазон, което излага на риск значителна част от сървърната инфраструктура за рендериране в мрежата.
Оценките от тези оценки показват, че около 39%-40% от облачните среди съдържат поне един екземпляр на React или Next.js, засегнат от тези CVE. Самият Next.js се появява в повечето от тези среди и в много случаи захранва публично достъпни приложения, изложени директно на интернет.
Отвъд Next.js, всяка рамка или инструмент, който вгражда пакета react-server или по друг начин поддържа RSC е потенциално изложен. Примери за маркирания включват:
- Next.js, в неговите RSC-съвместими версии.
- Плъгини Vite RSC които осигуряват поддръжка на сървърни компоненти.
- Плъгини за RSC на колети с интегрирани компоненти на React Server.
- Преглед на RSC за React Router или експериментални издания.
- RedwoodSDK реализации, използващи RSC характеристики.
- Уаку и подобни нововъзникващи рамки, задвижвани от RSC.
Доставчиците на облачни платформи започнаха да изясняват радиуса на взрива от тяхна гледна точка. Например Google посочи, че стандартните публични образи на операционни системи в Google Cloud за Compute Engine не се доставят с уязвими RSC стекове по подразбиране. След като обаче потребителите разположат свои собствени React или Next.js приложения върху тези изображения, отговорността за инсталирането на пачове е тяхна.
Защо рискът се счита за изключителен
Няколко характеристики се комбинират, за да направят CVE-2025-55182 и CVE-2025-66478 особено тревожно за защитниците. Първо, повърхността на атаката е вплетена в начина, по който RSC комуникира по мрежата, така че може да бъде достигната чрез обикновен HTTP трафик в много конфигурации. Сървърите не се нуждаят от активирани екзотични функции, за да бъдат достъпни; стандартно внедряване е достатъчно.
Второ, конфигурацията по подразбиране е уязвима за типични приложения, използващи засегнатия RSC протокол. Разработчиците, които са разчитали на препоръчителни, готови инструменти и най-добри практики, може несъзнателно да са внедрили приложения, които са уязвими, без да персонализират нищо.
Трето, въздействието на успешна експлоатация е възможно най-сериозно: пълно дистанционно изпълнение на код на сървъраСлед като атакуващият достигне това ниво, той обикновено може да изпълнява произволни команди, да прониква по-дълбоко в средата, да открадне данни или да променя логиката на приложението. В облачни среди, където услугите са тясно интегрирани, това може бързо да се превърне в по-широк компрометиращ фактор.
Изследователите по сигурност също изразиха загриженост, че сега, когато корекциите и предупрежденията са публични, само въпрос на време е противниците да реконструират промените, за да изградят свои собствени експлойти, както е обсъдено в ръководства за npm сигурност.
На последно място, пълната повсеместност на React и Next.js в производствени среди увеличава риска. React е една от най-широко използваните JavaScript библиотеки за изграждане на интерфейси, а Next.js се превърна в предпочитана рамка за сървърно рендирани и хибридни приложения. Грешка в нишов компонент може да е останала относително ограничена; грешка в RSC засяга огромна част от уеб стека.
Отговор от доставчици и екипи по сигурността
След като уязвимостта беше идентифицирана, процесът на разкриване се придвижи бързо. Изследователят по сигурността Лаклан Дейвидсън съобщи за недостатъка на екипа на React чрез програмата за възнаграждения за грешки на Meta в края на ноември. Това ранно уведомление позволи на поддържащите да проучат проблема, да подготвят защитени версии и да координират насоки с рамки за разработване на софтуер, като например Next.js.
Поддръжниците на React оттогава пусна актуализирани версии на React и пакета react-server които адресират несигурното поведение при десериализация в протокола Flight. Тези подсилени компилации са проектирани да обработват RSC полезни товари по-безопасно, затваряйки кодовите пътища, които преди това позволяваха на ненадеждни данни да диктуват изпълнението от страна на сървъра.
Версел и Екипът на Next.js издаде свои собствени предупреждения, като се описва подробно кои версии са засегнати и как потребителите трябва да актуализират. Целта е да се улесни максимално екипите при идентифицирането на засегнатите внедрявания и преминаването към актуализирани версии, включително за приложения, създадени с общи инструменти като create-next-app.
В защита, Wiz Research и други доставчици на решения за сигурност публикуваха анализи, сканирания и заявки, за да помогнат на организациите да откриват уязвими случаи в своите облачни среди. Wiz, например, добави предварително създадени заявки и съвети за центъра за заплахи, за да покаже инсталациите на React и Next.js, които все още разчитат на дефектната RSC имплементация.
Експертите в общността за реагиране при инциденти също се подготвят за вероятността някои организации да се сблъскат опити за експлоатация в реалния святФирмите за сигурност насърчават екипи, които подозират целенасочена дейност, свързана с CVE-2025-55182 или CVE-2025-66478, да бързо да се ангажират специалисти по реагиране, в идеалния случай преди нападателите да успеят да задълбочат позициите си.
Незабавни стъпки за разработчици и оператори
За екипи, отговорни за уеб приложения, изградени върху React Server Components, надграждането до засилени версии е единственото надеждно смекчаване на рискаСамо промените в конфигурацията е малко вероятно да елиминират напълно риска, като същевременно запазят нормалната функционалност на RSC, тъй като недостатъкът е вграден в начина, по който се обработва самият протокол.
Практичен план за реагиране за организации може да изглежда така:
- Инвентаризация на всички React и Next.js приложения, включително вътрешни инструменти и по-малко видими услуги, не само водещи публично достъпни сайтове.
- Идентифицирайте кои внедрявания използват RSC или разчитат на версии на React и Next.js, маркирани като уязвими от предупрежденията на доставчиците.
- Надстройте React, react-server и Next.js към засилените версии, издадени от разработчиците на софтуер, следвайки техните специфични за версията указания.
- Проверете други рамки, активирани с RSC като например плъгини Redwood, Waku или RSC за Vite и Parcel и прилагайте актуализации веднага щом разработчиците ги пуснат.
- Преглед на регистрирането и телеметрията около крайните точки на RSC за необичайни, деформирани или подозрителни заявки, които биха могли да показват опити за сондиране или експлоатация.
Организациите, използващи инструменти за облачна сигурност, също могат използвайте предоставено от доставчика съдържание за откриване за да се ускори този процес. Например, заявките, предоставени от Wiz, могат да помогнат за локализиране на уязвими пакети и рамки в многооблачни внедрявания, намалявайки вероятността пренебрегната услуга да остане изложена на риск.
Където е възможно, екипите могат също да обмислят временно ограничаване на експозицията на крайни точки на RSC зад допълнителни слоеве за контрол на достъпа, ограничаване на скоростта или защитни стени на приложенията, докато се пускат корекции. Тези мерки са по-скоро временни, отколкото пълни решения, но могат да помогнат за намаляване на възможностите за атакуващите.
Както при всеки високопрофилен RCE, затягането наблюдение около критични активи е също толкова важно. Сигнализирането за аномалии при създаването на процеси, изходящи мрежови връзки от сървъри на приложения и неочаквани промени в конфигурацията може да помогне за ранното откриване на успешна експлоатация.
Дългосрочни последици за уеб екосистемата
Появата на CVE-2025-55182 в React и CVE-2025-66478 в Next.js също така подтиква към по-широк разговор за това как се проектират и внедряват новите функции на уеб платформите. Сървърното рендериране и сървърните компоненти обещават предимства за производителността и разработчиците, но също така концентрират много мощност и сложност в относително малък набор от протоколи и библиотеки.
Един урок от този инцидент е, че Слоевете за сериализация и десериализация изискват специално вниманиеВсеки механизъм, който реконструира сложни обекти или интерпретира структурирани полезни товари от ненадеждни източници, е кандидат за сериозни грешки, ако валидирането е непълно. Тъй като все повече рамки приемат модели, подобни на RSC, е вероятно рецензентите на код и одиторите на сигурността да се фокусират още повече върху тези граници.
Мащабът на потенциалното въздействие също така подчерта как Екосистемите с отворен код зависят от бързи и координирани реакции когато се появят критични недостатъци. React, Next.js, доставчиците на облачни услуги и доставчиците на решения за сигурност трябваше бързо да се съгласуват, за да публикуват корекции, документация и инструменти за откриване. Тази координация може значително да съкрати времето между разкриването и отстраняването на проблеми, намалявайки общите щети.
В същото време инцидентът подчертава как лесно настройките по подразбиране могат да повлияят на риска в реалния святКогато една мощна функция е активирана по подразбиране и е широко възприета, всяка слабост в тази функция се превръща в системен проблем почти за една нощ. Бъдещите дизайни на рамки може да поставят по-голям акцент върху поведение, безопасно по подразбиране, разширени функции с възможност за избиране или по-ясни компромиси по отношение на сигурността.
Накрая, екипите за разработка вероятно ще преразгледат собствените си моделиране на заплахи за функции, управлявани от сървъраДори в среди, които преди са се чувствали добре защитени, възможността неудостоверени заявки да повлияят на пътищата за рендериране от страна на сървъра ще подтикне екипите по сигурността да оспорят дългогодишни предположения и да инвестират в по-надеждно тестване.
Докато общността продължава да осъзнава тези уязвимости, организациите, които предприемат бързо действие да поправят, наблюдават и преоценяват използването на RSC, ще бъдат в по-силна позиция. Справянето с CVE-2025-55182 и CVE-2025-66478 не е просто отстраняване на един бъг; това е напомняне за това колко взаимосвързани са съвременните уеб стекове и колко е важно да се следи отблизо основите, на които те разчитат.
