CVE-2025-55182 i CVE-2025-66478: Kritični RCE u komponentama React Servera i Next.js-u

Početna » Piton » CVE-2025-55182 i CVE-2025-66478: Kritični RCE u komponentama React Servera i Next.js-u

Otkriće CVE-2025-55182 u Reactu i njegov pratilac CVE-2025-66478 u Next.js-u poslao je jasno upozorenje cijelom svijetu modernog web razvoja. Ovi problemi izlažu poslužitelje koji koriste React Server Components (RSC) i okvire koji implementiraju RSC "Flight" protokol neovlaštenom udaljenom izvršavanju koda, čak i kada rade s potpuno standardnom, gotovim konfiguracijama.

Ono što ovu situaciju čini posebno zabrinjavajućom jest kako napadaču je potreban mali napor kako bi se nedostatak iskoristio kao oružje: izrađen HTTP zahtjev usmjeren na ranjivu krajnju točku može biti dovoljan za pokretanje proizvoljnog koda na poslužitelju. S velikim udjelom cloud okruženja koja se oslanjaju na React i Next.js, hitnost za administratore i razvojne programere da ga zakrpe teško je precijeniti.

Razumijevanje CVE-2025-55182 i CVE-2025-66478

CVE-2025-55182 se odnosi na osnovnu grešku u react-server paket, komponenta koja podupire React Server komponente i njihov "Flight" protokol. Ovaj paket je odgovoran za rukovanje specijaliziranim korisnim teretima koji se koriste kada se komponente renderirane na poslužitelju struje klijentu, mehanizam koji je središnji dio novog React 19 ekosustava.

Paralelno, CVE-2025-66478 prikazuje utjecaj na Next.js, koji integrira React Server komponente i ponovno koristi isti temeljni protokol. Budući da se Next.js gradi izravno na ovoj RSC infrastrukturi, svaka slabost u protokolu odmah se nasljeđuje od strane tipičnih Next.js aplikacija, uključujući one pokrenute alatima poput create-next-app.

Oba identifikatora opisuju kritične, neautentificirane ranjivosti udaljenog izvršavanja kodaSigurnosni timovi su ih ocijenili maksimalnim ocjenama ozbiljnosti, što odražava ne samo njihov tehnički utjecaj već i činjenicu da je iskorištavanje moguće u stvarnim scenarijima implementacije bez složenih preduvjeta.

Istraživači su također primijetili da je pogođeno ponašanje omogućeno prema zadanim postavkama u mnogim konfiguracijama. To znači da aplikacije ne moraju koristiti nikakve neobične obrasce ili dodavati rizične opcije da bi bile izložene; jednostavno usvajanje trenutnih RSC-baziranih stogova može biti dovoljno za nasljeđivanje ranjivosti.

Iza kulisa, problem proizlazi iz načina RSC korisni tereti se prihvaćaju i obrađuju logikom na strani poslužitelja. Umjesto temeljite validacije i ograničavanja nepouzdanih ulaza, proces deserijalizacije omogućuje podacima koje kontrolira napadač da oblikuju putanje izvršenja na poslužitelju.

Kako protokol Flight postaje put do RCE-a

Korijen uzroka iza CVE-2025-55182 u komponentama React Servera je logička greška deserijalizacije u rukovanju RSC "Flight" protokolom. RSC koristi specijalizirani žični format za opis stabala komponenti, svojstava i radnji poslužitelja, koje poslužitelj kodira, a klijent dekodira kao dio renderiranja.

Kada poslužitelj primi Zlonamjerno oblikovani letački teret, trebao bi tretirati svaki dio tih podataka kao nepouzdan. Umjesto toga, ranjiva implementacija obrađuje ovaj ulaz na način koji mu učinkovito omogućuje utjecaj na ponašanje privilegiranih servera. Korak nesigurne deserijalizacije postaje most između neprijateljskih podataka i JavaScript koda koji se izvodi s punim serverskim privilegijama.

Istraživači sigurnosti opisuju ovu klasu problema kao nesigurna deserijalizacija: aplikacija uzima složene ulazne strukture, rekonstruira objekte ili tokove izvršavanja iz njih i ne postavlja snažne zaštitne mjere oko onoga što ti rekonstruirani objekti smiju raditi. U ovom slučaju, otvara vrata napadaču da usmjerava izvršavanje prema proizvoljnim putovima koda.

Tijekom testiranja, istraživački timovi su izvijestili gotovo savršena pouzdanost prilikom pokušaja iskorištavanjaNapadi temeljeni na dokazu koncepta, iako nisu u potpunosti otkriveni kako bi se ograničila oportunistička zlouporaba, pokazali su se uspješnima u udaljenom izvršavanju koda s uspjehom blizu 100%. Jedini praktični zahtjev je mogućnost isporuke izrađenog HTTP zahtjeva izloženoj RSC krajnjoj točki.

Napad je stoga udaljeno i neautentificiranoNije potrebna valjana sesija, procurili token i prethodna podrška. Javno dostupna Next.js ili druga RSC-bazirana aplikacija koja nije ažurirana može se ispitati i, ako je ranjiva, kompromitirati.

Tko i što je pogođeno

Budući da je ranjivost ukorijenjena u implementacija jezgre react-servera, njegov utjecaj proteže se dalje od samog Reacta i Next.js-a na bilo koji okvir koji na sličan način objedinjuje ili integrira RSC. To je opseg potencijalne izloženosti učinilo znatno širim od jedne biblioteke ili proizvoda koji održava dobavljač.

Javne analize su istaknule Next.js kao najistaknutiji downstream cilj, s obzirom na njegovu popularnost i duboku RSC integraciju. Podaci koje je prikupio Wiz Research pokazuju da znatan udio cloud okruženja koristi verzije Reacta ili Next.jsa koje spadaju u ranjivi raspon, što dovodi u opasnost značajan dio infrastrukture za renderiranje na strani poslužitelja na webu.

Procjene iz tih procjena sugeriraju da oko 39%-40% okruženja u oblaku sadrže barem jednu instancu Reacta ili Next.jsa na koju utječu ovi CVE-ovi. Sam Next.js pojavljuje se u većini tih okruženja, a u mnogim slučajevima pokreće javno dostupne aplikacije izložene izravno internetu.

Osim Next.js-a, bilo koji okvir ili alat koji ugrađuje paket react-server ili na drugi način podržava RSC je potencijalno izložen. Primjeri koji su označeni uključuju:

• Dalje.js, u verzijama s omogućenim RSC-om.
• Vite RSC dodaci koji pružaju podršku za serverske komponente.
• Dodaci za RSC pakete s integriranim React Server komponentama.
• Pregledi React Routera RSC-a ili eksperimentalna izdanja.
• RedwoodSDK implementacije korištenjem RSC značajki.
• Waku i slični novi okviri vođeni RSC-om.

Pružatelji usluga u oblaku počeli su pojašnjavati radijus eksplozije iz svoje perspektive. Na primjer Google je naznačio da standardne javne slike OS-a na Google Cloudu za Compute Engine se ne isporučuju s ranjivim RSC stogovima prema zadanim postavkama. Međutim, nakon što korisnici implementiraju vlastite React ili Next.js aplikacije preko tih slika, odgovornost za zakrpu je na njima.

Zašto se rizik smatra ekstremnim

Nekoliko karakteristika se kombinira kako bi se stvorilo CVE-2025-55182 i CVE-2025-66478 posebno zabrinjavajuće za branitelje. Prvo, površina napada utkana je u način na koji RSC komunicira putem mreže, tako da se do njega može doći putem običnog HTTP prometa u mnogim postavkama. Poslužiteljima nisu potrebne omogućene egzotične značajke da bi bili dostupni; dovoljno je standardno postavljanje.

Drugo, Zadana konfiguracija je ranjiva za tipične aplikacije koje koriste pogođeni RSC protokol. Razvojni programeri koji su se oslanjali na preporučene, gotove alate i najbolje prakse mogli su nesvjesno implementirati aplikacije koje su ranjive bez ikakve prilagodbe.

Treće, utjecaj uspješnog iskorištavanja je otprilike najozbiljniji: potpuno udaljeno izvršavanje koda na poslužiteljuNakon što napadač dosegne ovu razinu, obično može izvršavati proizvoljne naredbe, prodrijeti dublje u okruženje, ukrasti podatke ili mijenjati logiku aplikacije. U okruženjima izvorno zasnovanim na oblaku gdje su usluge čvrsto integrirane, to se brzo može pretvoriti u širu kompromitaciju.

Istraživači sigurnosti također su izrazili zabrinutost da sada kada zakrpe i upozorenja su javni, samo je pitanje vremena kada će protivnici rekonstruirati promjene kako bi izgradili vlastite iskorištavanja, kao što je objašnjeno u vodiči o npm sigurnosti.

Na kraju, čista sveprisutnost Reacta i Next.jsa u produkcijskim okruženjima povećava rizik. React je jedna od najčešće korištenih JavaScript biblioteka za izgradnju sučelja, a Next.js je postao glavni okvir za serverski renderirane i hibridne aplikacije. Greška u nišnoj komponenti možda je ostala relativno suzdržana; greška u RSC-u dotiče se velikog dijela web steka.

Odgovor dobavljača i sigurnosnih timova

Nakon što je ranjivost identificirana, proces otkrivanja se brzo odvijao. Sigurnosni istraživač Lachlan Davidson prijavio je propust React timu putem Metinog programa nagrađivanja za greške krajem studenog. Ova rana obavijest omogućila je održavateljima da prouče problem, pripreme otpornija izdanja i koordiniraju smjernice s nizvodnim okvirima kao što je Next.js.

Održavatelji Reacta od tada objavljene ažurirane verzije Reacta i paketa react-server koji rješavaju nesigurno ponašanje deserijalizacije u protokolu Flight. Ove ojačane verzije dizajnirane su za sigurnije rukovanje RSC korisnim teretima, zatvarajući puteve koda koji su prethodno dopuštali nepouzdanim podacima da diktiraju izvršavanje na strani poslužitelja.

Vercel i Tim Next.js izdao je vlastite savjete, s detaljnim opisom koje su verzije pogođene i kako bi korisnici trebali ažurirati. Cilj je bio što više olakšati timovima prepoznavanje pogođenih implementacija i prelazak na zakrpana izdanja, uključujući i aplikacije stvorene uobičajenim alatima poput create-next-app.

Na obrambenoj strani, Wiz Research i drugi dobavljači sigurnosnih rješenja objavili su analize, skeniranja i upite kako bi pomogli organizacijama u otkrivanju ranjivih instanci u svojim cloud okruženjima. Wiz je, na primjer, dodao unaprijed izrađene upite i savjete centra za prijetnje kako bi istaknuo instalacije Reacta i Next.jsa koje se još uvijek oslanjaju na manjkavu RSC implementaciju.

Stručnjaci u zajednici za odgovor na incidente također se pripremaju za vjerojatnost da će se neke organizacije suočiti pokušaji iskorištavanja u stvarnom svijetuZaštitarske tvrtke potaknule su timove koji sumnjaju na ciljanu aktivnost koja uključuje CVE-2025-55182 ili CVE-2025-66478 da brzo angažirajte stručnjake za odgovor, idealno prije nego što napadači mogu produbiti svoje uporište.

Neposredni koraci za razvojne programere i operatere

Za timove odgovorne za web aplikacije izgrađene na React Server komponentama, nadogradnja na ojačane verzije je jedino pouzdano ublažavanjeSamo podešavanje konfiguracije vjerojatno neće u potpunosti ukloniti rizik uz očuvanje normalne funkcionalnosti RSC-a, jer je nedostatak ugrađen u način na koji se sam protokol obrađuje.

Praktično plan odgovora za organizacije može izgledati ovako:

• Popis svih React i Next.js aplikacija, uključujući interne alate i manje vidljive usluge, ne samo vodeće javno dostupne stranice.
• Odredite koje implementacije koriste RSC ili se oslanjaju na verzije React i Next.js označeni su kao ranjivi od strane dobavljačkih upozorenja.
• Nadogradite React, react-server i Next.js na ojačane verzije koje su objavili održavatelji, slijedeći njihove upute specifične za verziju.
• Provjerite ostale RSC-omogućene okvire kao što su dodaci Redwood, Waku ili RSC za Vite i Parcel, te primijeniti ažuriranja čim ih održavatelji objave.
• Pregled zapisnika i telemetrije oko RSC krajnjih točaka za neobične, oštećene ili sumnjive zahtjeve koji bi mogli ukazivati ​​na pokušaje sondiranja ili iskorištavanja.

Organizacije koje koriste alate za sigurnost u oblaku također mogu iskoristite sadržaj za detekciju koji pruža dobavljač kako bi se ubrzao ovaj proces. Na primjer, upiti koje pruža Wiz mogu pomoći u lociranju ranjivih paketa i okvira u višeoblačnim implementacijama, smanjujući mogućnost da previđena usluga ostane izložena.

Gdje je to moguće, timovi bi također mogli razmotriti privremeno ograničavanje izloženosti krajnjih točaka RSC-a iza dodatnih slojeva kontrole pristupa, ograničavanja brzine ili vatrozida aplikacija dok se objavljuju zakrpe. Ove mjere su privremene, a ne potpuna rješenja, ali mogu pomoći u smanjenju prozora prilika za napadače.

Kao i kod svakog visokoprofiliranog RCE-a, zatezanje praćenje kritične imovine je jednako važno. Upozorenja o anomalijama u stvaranju procesa, odlaznim mrežnim vezama s aplikacijskih poslužitelja i neočekivanim promjenama konfiguracije mogu pomoći u ranom otkrivanju uspješne eksploatacije.

Dugoročne implikacije za web ekosustav

Nastanak CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.jsu također potiče širu raspravu o tome kako se nove značajke web platforme dizajniraju i uvode. Renderiranje na strani poslužitelja i poslužiteljske komponente obećavaju prednosti performansi i iskustva za razvojne programere, ali također koncentriraju mnogo snage i složenosti u relativno malom skupu protokola i biblioteka.

Jedna lekcija iz ovog događaja je da Slojevi serijalizacije i deserijalizacije zahtijevaju posebnu pozornostSvaki mehanizam koji rekonstruira složene objekte ili interpretira strukturirane korisne podatke iz nepouzdanih izvora kandidat je za ozbiljne greške ako je validacija nepotpuna. Kako sve više okvira usvaja obrasce slične RSC-u, recenzenti koda i sigurnosni revizori vjerojatno će se još više usredotočiti na te granice.

Razmjer potencijalnog utjecaja također je istaknuo kako Ekosustavi otvorenog koda ovise o brzim, koordiniranim odgovorima kada se pojave kritične mane. React, Next.js, pružatelji usluga u oblaku i sigurnosni dobavljači morali su se brzo uskladiti kako bi objavili zakrpe, dokumentaciju i alate za otkrivanje. Ta koordinacija može značajno skratiti vrijeme između otkrivanja i sanacije, smanjujući ukupnu štetu.

Istovremeno, incident naglašava kako lako zadane postavke mogu oblikovati rizik u stvarnom svijetuKada je neka moćna značajka omogućena prema zadanim postavkama i široko prihvaćena, svaka slabost u toj značajki postaje sistemski problem gotovo preko noći. Budući dizajni okvira mogli bi staviti veći naglasak na ponašanja sigurna prema zadanim postavkama, napredne značajke s mogućnošću odabira ili jasnije sigurnosne kompromise.

Konačno, razvojni timovi će vjerojatno ponovno razmotriti vlastite modeliranje prijetnji za značajke vođene poslužiteljemČak i u okruženjima koja su se prije činila dobro zaštićenima, mogućnost utjecaja neautentificiranih zahtjeva na putanje renderiranja na strani poslužitelja potaknut će sigurnosne timove da dovedu u pitanje dugogodišnje pretpostavke i ulažu u robusnije testiranje.

Dok zajednica nastavlja shvaćati ove ranjivosti, organizacije koje poduzimaju brza akcija zakrpati, pratiti i ponovno procijeniti korištenje RSC-a bit će u jačem položaju. Rješavanje CVE-2025-55182 i CVE-2025-66478 ne odnosi se samo na ispravljanje jedne greške; to je podsjetnik na to koliko su moderni web stogovi međusobno povezani i koliko je ključno pomno pratiti temelje na kojima se oslanjaju.