- Nove greške u React Server Components, CVE-2025-55183 i CVE-2025-55184, omogućuju otkrivanje izvornog koda i uskraćivanje usluge.
- Oba problema utječu na specifične 19.x verzije paketa react-server-dom-parcel, -turbopack i -webpack.
- Metin React tim je objavio ispravljene verzije 19.0.3, 19.1.4 i 19.2.3 te potiče brze nadogradnje.
- Greške su otkrivene tijekom testiranja ranijih React2Shell (CVE-2025-55182) zakrpa, što pokazuje intenzivnu analizu RSC-ove površine za napad.
Dva novootkrivene ranjivosti u React Server Components (RSC) usmjerili su novu pozornost na sigurnost modernih JavaScript backendova. Praćeno kao CVE-2025-55183 i CVE-2025-55184, ovi nedostaci ne omogućuju izravno udaljeno izvršavanje koda, ali i dalje mogu uzrokovati ozbiljne poremećaje zbog uskraćivanja usluge i neželjenog otkrivanja izvornog koda pozadinskog sustava kada se iskoriste u pravim uvjetima.
Ove greške su se pojavile kao dio šireg Sigurnosni pregled pokrenut kritičnim problemom React2Shell (CVE-2025-55182), koji je već privukao aktivno iskorištavanje. Iako su nove slabosti manje ozbiljne od ranije ranjivosti CVSS-a 10.0, one ističu kako, nakon što kritična greška postane javna, istraživači i napadači podjednako duboko istražuju susjedne RSC kodne putanje koje traže varijantne tehnike napada.
Pozadina: Od React2Shella do novih RSC ranjivosti
Dok su branitelji i React tim implementirali ublažavanja za React2Shell, sigurnosni istraživači počeli su ispitivati ažurirani kod kako bi provjerili mogu li se ispravci zaobiđeno ili prošireno u nove primitive iskorištavanjaOvaj je proces standardna praksa u cijeloj industriji: nakon što se zakrpa vrlo kritična ranjivost, obližnja logika i sučelja agresivno se ispituju u potrazi za sličnim obrascima.
Tijekom ovog naknadnog istraživanja dokumentirane su tri povezane RSC greškeproblem uskraćivanja usluge (CVE-2025-55184), naknadni nepotpuni popravak s istim utjecajem (CVE-2025-67779) i slabost u otkrivanju informacija (CVE-2025-55183). Iako je CVE-2025-67779 također relevantan za sigurnost RSC-a, glavni fokus sada je na razumijevanju novo detaljno opisano ponašanje i utjecaj CVE-2025-55183 i CVE-2025-55184.
Uz ovu tehničku analizu, stručnjaci za odgovor na incidente primijetili su razvoj lanaca iskorištavanja oko React2Shella, gdje napadači kombiniraju RCE s post-eksploatacijskim korisnim teretima i lateralnim kretanjem. Ta kontinuirana aktivnost povećava hitnost organizacija da se pozabave sve povezane RSC ranjivosti, uključujući CVE-2025-55183 i CVE-2025-55184, kao dio jedinstvene, evoluirajuće površine napada a ne izolirane greške.
Otkriće i odgovorno razotkrivanje ovih problema pokazuje kako šira sigurnosna zajednica, inženjeri dobavljača i lovci na bugove surađivati kako bi ojačali široko korištene okvire poput Reacta, čak i dok protivnici pokušavaju naoružati iste te komponente.
Tehnički detalji CVE-2025-55184: Uskraćivanje usluge u funkcijama poslužitelja
CVE-2025-55184 je opisan kao ranjivost uskraćivanja usluge (DoS) prije provjere autentičnosti utječu na komponente React Servera. Korijen problema leži u načinu na koji određeni RSC paketi rukuju deserijalizacija korisnih podataka iz HTTP zahtjeva ciljanje krajnjih točaka poslužiteljskih funkcija.
U ranjivim verzijama, posebno izrađeni zahtjevi mogu pokrenuti nesigurna logika deserijalizacije koja upada u beskonačnu petljuNakon što se ova petlja aktivira, proces koji obrađuje funkciju poslužitelja efektivno se zamrzava, što dovodi do stanja u kojem aplikacija više ne može posluživati sljedeći HTTP promet ili pouzdano odgovarati.
Utjecaj je posebno zabrinjavajući jer se nedostatak može iskoristiti prije nego što se provede bilo kakva autentifikacijaDrugim riječima, napadaču nisu potrebne valjane vjerodajnice ili povećane privilegije za pokušaj iskorištavanja; niz zlonamjernih zahtjeva dovoljan je da veže resurse poslužitelja i potencijalno isključiti uslugu koju pokreće RSC.
Prema objavljenom bodovanju, CVE-2025-55184 nosi Osnovni CVSS rezultat od 7.5, što ga svrstava u kategoriju visoke ozbiljnosti. Iako samostalno ne nudi izvršavanje koda, pouzdani DoS primitiv protiv ključnog dijela backend steka i dalje se može pretvoriti u rizici dostupnosti, kršenja ugovora o razini usluge i utjecaj na poslovanje nizvodno.
Tijekom procesa ažuriranja, zasebni identifikator, CVE-2025-67779, dodijeljen je nepotpunom rješenju za ovaj problem. Taj naknadni CVE adresira preostale putove koji su i dalje proizvodili isti učinak uskraćivanja usluge, naglašavajući kako Zatvaranje složenih grešaka u deserijalizaciji može zahtijevati više iteracija kako bi se pokrio svaki rubni slučaj..
Tehnički detalji CVE-2025-55183: Izloženost izvornog koda putem posebno izrađenih zahtjeva
Gdje se CVE-2025-55184 fokusira na dostupnost, CVE-2025-55183 se bavi povjerljivošćuOva ranjivost karakterizira se kao greška u vezi s curenjem informacija u komponentama React Servera što može uzrokovati vraćanje izvornog koda određenih poslužiteljskih funkcija udaljenom klijentu.
U ranjivim izdanjima, pažljivo dizajniran HTTP zahtjev poslan izloženoj funkciji poslužitelja može pokrenuti ponašanje u kojem poslužitelj odgovara temeljnim kodom bilo koje ciljane poslužiteljske funkcijeOvakvo curenje informacija može otkriti detalje implementacije, poslovnu logiku, kodirane nizove znakova ili druge osjetljive informacije koje organizacije obično drže isključivo na strani poslužitelja.
Međutim, iskorištavanje CVE-2025-55183 ograničeno je određenim preduvjetom: mora postojati barem jedan Poslužiteljska funkcija čije sučelje otkriva argument koji je pretvoren u format niza znakova, bilo eksplicitno ili implicitno. Samo kada ovaj obrazac postoji u korištenju RSC-a aplikacije, ranjivost postaje održiva za potencijalnog napadača.
Dodjeljivanje sigurnosnih ocjena CVSS rezultat od 5.3 na CVE-2025-55183, što ga svrstava u raspon srednje ozbiljnosti. Unatoč tome, otkrivanje izvornog koda može biti daleko od bezopasnog. Poznavanje internih naziva funkcija, parametara, rukovanja pogreškama i tokova podataka može pomoći protivnicima da osmisle prilagođenije napade, uočiti skrivene slabosti i osmisliti phishing ili društvene inženjeringe koji su bliže ponašanju stvarnog sustava.
Osim bilo kakve neposredne vrijednosti iskorištavanja, vidljivost stečena procurilim kodom Server Functiona može učinkovito pretvoriti aplikaciju u vlastitu nacrt za buduće pokušaje upada, posebno u okruženjima gdje se isti obrasci pojavljuju u više usluga.
Pogođeni paketi i verzije u ekosustavu React RSC
Novo dokumentirane ranjivosti utječu na skup Paketi za integraciju React Server Components, posebno implementacije koje uključuju RSC u alate za izgradnju i izvođenje. Pogođeni moduli su:
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Za CVE-2025-55184 i CVE-2025-55183, pogođene verzije obuhvaćaju više izdanja 19.x. Ranjivi skup uključuje 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 i 19.2.1Razvojni timovi koji pokreću ove verzije u produkciji ili pripremnoj fazi moraju pretpostaviti da su njihove instance može biti podložno uskraćivanju usluge ili curenju izvornog koda ako je izložen nepouzdanom prometu.
Osim toga, nepotpuni popravak predstavljen s CVE-2025-67779 utječe na verzije 19.0.2, 19.1.3 i 19.2.2Iako je ovaj identifikator povezan s istom vrstom DoS ponašanja kao i CVE-2025-55184, on naglašava da čak i nadograđena okruženja mogu ostati djelomično izložena ako se nađu na ovim međuizdanjima.
Raspon pogođenih verzija pokazuje kako RSC-ov brzi iteracijski ciklus može zakomplicirati upravljanje zakrpama. Organizacije koje sporadično nadograđuju ili se vežu za određene sporedne verzije možda neće shvatiti da novodošlo izdanje spada unutar pogođenog prozora, što čini pažljiva revizija verzija je neophodna.
S obzirom na popularnost React ekosustava i rastuće usvajanje serverskih komponenti za performanse i iskustvo programera, skup aplikacija koje bi potencijalno mogao dotaknuti CVE-2025-55183 i CVE-2025-55184 vjerojatno će obuhvatiti širok spektar industrija i modela implementacije.
Zakrpane verzije i preporučeni put nadogradnje
Kako bi se riješile ranjivosti, React tim je objavio zakrpane verzije za sva tri pogođena RSC paketaKorisnicima se preporučuje da što prije migriraju na sljedeća fiksna izdanja:
- 19.0.3
- 19.1.4
- 19.2.3
Prema održavateljima, ova ažuriranja u potpunosti ublažiti problem uskraćivanja usluge koji predstavljaju CVE-2025-55184 i povezani CVE-2025-67779, kao i rizik od otkrivanja informacija opisan u CVE-2025-55183. Ključno je da je raniji React2Shell vektor (CVE-2025-55182) također blokiran širim skupom zakrpa koje su objavljene u granama 19.x.
Timovi odgovorni za implementacije u produkciji potiču se da ovo tretiraju kao zadatak održavanja visokog prioriteta, posebno uzimajući u obzir aktivno istraživanje ranjivosti RSC-a od strane legitimnih istraživača i neprijateljskih aktera. Tamo gdje trenutno postavljanje najnovije sporedne linije nije izvedivo, organizacije bi trebale barem osigurati nisu zaglavljeni ni na jednoj od posebno navedenih ranjivih verzija.
Kao i uvijek, nadogradnja knjižnica trebala bi ići ruku pod ruku s testiranje i postupna uvođenjaDodavanje regresijskih provjera oko kritičnih poslužiteljskih funkcija, praćenje stopa pogrešaka nakon nadogradnje i pregled zapisnika za neobične aktivnosti deserijalizacije ili serijalizacije mogu pomoći u osiguravanju da se nove verzije ponašaju kako se očekuje u stvarnom prometu.
Brza dostupnost zakrpa naglašava stav React tima da višestruki krugovi otkrivanja nisu nužno znak neuspjelog saniranja, već prije ciklus zdravog odgovora gdje se obrambena dubina s vremenom poboljšava kako se otkriva i rješava sve više rubnih slučajeva i varijantnih putova.
Kako su ranjivosti otkrivene i prijavljene
Novo dokumentirani nedostaci odražavaju kontinuiranu suradnju između neovisni istraživači sigurnosti i Meta-in program nagrađivanja za otkrivanje grešakaProbleme s uskraćivanjem usluge, CVE-2025-55184 i naknadni CVE-2025-67779, prijavio je RyotaK i Shinsaku Nomura, koji je zaslužio priznanje za identificiranje načina na koji zlonamjerni korisni sadržaji mogu dovesti RSC u stanje nereagiranja.
Ranjivost na curenje informacija, CVE-2025-55183, otkrio je Andrew MacPherson, koji je istaknuo uvjete pod kojima poslužiteljska funkcija može vratiti vlastiti izvorni kod kada joj se predstavi pažljivo konstruirani HTTP zahtjev.
Ovi nalazi su se pojavili dok su istraživači aktivno pokušavali testirajte postojeće mjere ublažavanja za CVE-2025-55182Time su učinkovito replicirali vrstu analitičkog rada koji bi odlučni napadači mogli obavljati, ali unutar okvira odgovornog izvještavanja i koordinirane distribucije zakrpa.
React tim je javno priznao da su ovakvi obrasci tipično u softverskoj industriji, ne samo unutar JavaScript ekosustava. Nakon što kritična greška privuče pozornost, i programeri i protivnici traže „varijantne“ strategije iskorištavanja duž susjednih putova koda, ponekad otkrivajući prethodno previđene slabosti.
Rješavanjem CVE-2025-55183, CVE-2025-55184 i CVE-2025-67779 na brz i transparentan način, održavatelji imaju za cilj budite ispred potencijalnog naoružanja istovremeno dajući organizacijama jasne smjernice o tome kako osigurati implementaciju svojih React Server komponenti.
Kontekst rizika: Zašto su greške koje nisu RCE i dalje važne
Iako ove nove ranjivosti same po sebi ne omogućuju napadaču izravno izvršavanje udaljenog koda, i dalje ih je moguće visokovrijedni alati u širem kompletu za zaštitu od provaleGreška uskraćivanja usluge poput CVE-2025-55184 može se koristiti za ometanje operacija, djelovati kao dimna zavjesa koja odvlači pažnju braniteljima ili ispitivati koliko je infrastruktura organizacije otporna na neuobičajeno opterećenje.
Paralelno, vektor izloženosti izvornog koda kao što je CVE-2025-55183 može pomoći u izviđačkim naporimaPristup internom tekstu Serverskih funkcija može otkriti kako se zahtjevi autentificiraju, koji parametri utječu na pristup bazi podataka, kako se obrađuju pogreške i gdje su integrirane usluge trećih strana. Ta vidljivost je neprocjenjiva za napadače koji pokušavaju organizirati preciznije ili prikrivenije pokušaje iskorištavanja.
U okruženjima koja se već suočavaju s posljedicama React2Shell (CVE-2025-55182), ove dodatne slabosti povećavaju složenost ukupnog krajolika prijetnji. Branitelji su prisiljeni razmotriti ne samo neposrednu prevenciju RCE-a već i stabilnost i povjerljivost ponašanja RSC-a pod zlonamjernim unosom.
Iz perspektive upravljanja, ova situacija naglašava zašto Programi upravljanja ranjivostima moraju gledati dalje od CVSS 10.0 rezultata koji privlače pozornost javnostiGreške srednje i visoke ozbiljnosti koje utječu na dostupnost i izloženost informacija i dalje mogu biti ključne, posebno u kombinaciji s drugim tehnikama u realističnom lancu napada.
U konačnici, ovi događaji pojačavaju ideju da održavanje sigurnih RSC implementacija nije jednokratni napor. To je umjesto toga kontinuirani proces zakrpanje, praćenje, testiranje i pregled načina na koji su funkcije poslužitelja dizajnirane i izložene tijekom vremena.
Kako se prašina sliježe oko hitne situacije s React2Shellom i s njom povezanih otkrića, organizacije koje koriste React Server Components prisiljene su... ponovno ispitati verzije ovisnosti, ojačati sučelja na strani poslužitelja i brzo reagirati na sigurnosne savjete uzvodnoPraćenjem najnovijih zakrpanih izdanja i integriranjem sigurnosnih provjera u svoje razvojne tijekove rada, timovi mogu značajno smanjiti priliku za napadače koji ciljaju CVE-2025-55183, CVE-2025-55184 i povezane RSC ranjivosti.
