- CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.js omogućuju neautentificirano udaljeno izvršavanje koda putem protokola "Flight" komponenti React Servera.
- Greška nastaje zbog nesigurne deserijalizacije izrađenih RSC korisnih podataka i utječe na mnoge okvire u njihovoj zadanoj konfiguraciji.
- Istraživači su primijetili gotovo 100% pouzdanosti iskorištavanja i procjenjuju da otprilike 39–40% okruženja u oblaku koristi ranjive instance React/Next.js.
- Trenutne nadogradnje na ojačane verzije Reacta i Next.jsa jedino su konačno ublažavanje, a dobavljači već isporučuju zakrpe i smjernice.
Tijekom proteklih nekoliko dana, sigurnosni timovi diljem svijeta nastojali su procijeniti dva novootkrivena buga u React ekosustavu: CVE-2025-55182 u komponentama React Servera i CVE-2025-66478 u Next.js-uOve mane otvaraju vrata potpunom udaljenom izvršavanju koda na poslužiteljima i izazvale su uzbunu jer se mogu pokrenuti bez autentifikacije i uz vrlo malo napora napadača.
Problem zadire u samu srž moderne JavaScript infrastrukture. React i Next.js pokreću sve, od malih sporednih projekata do platformi koje koriste velika poduzeća, a znatan dio cloud opterećenja ovisi o njima. Istraživači upozoravaju... neposredna masovna eksploatacija i gotovo savršena pouzdanost eksploatacije, razvojni i operativni timovi potiču se da postavljanje zakrpa stave na vrh svojih popisa zadataka.
Što su zapravo CVE-2025-55182 i CVE-2025-66478
U srži problema leži Protokol "Flight" komponenti React Servera (RSC), mehanizam uveden za rukovanje tijekovima renderiranja koje pokreću poslužitelji. CVE-2025-55182 je identifikator dodijeljen ranjivosti u Reactovom vlastitom react-server paket, dok CVE-2025-66478 pokriva odgovarajuću grešku u Next.js-u., koji ugrađuje i proširuje ovaj protokol.
Ranjivost je u biti logička greška deserijalizacije u načinu na koji se obrađuju RSC korisni teretiKada poslužitelj primi posebno izrađen, neispravan Flight payload, implementacija ne uspijeva temeljito validirati strukturu prije nego što djeluje na nju. Taj propust omogućuje podacima koje kontrolira napadač da se probiju na mjesta gdje mogu utjecati na izvršavanje na strani poslužitelja.
U praksi, to znači da napadač može poslati jednu izrađen HTTP zahtjev prema funkciji React Servera ili RSC krajnjoj točkiKada poslužitelj deserializira taj teret, može ga se prisiliti na izvršavanje proizvoljnog JavaScript koda s privilegijama poslužiteljskog procesa, pretvarajući jednostavan zahtjev u potpuno udaljeno izvršavanje koda (RCE).
Sigurnosni timovi i dobavljači opisuju oba CVE-a kao da imaju maksimalni CVSS rezultat od 10.0, najviša moguća ocjena. To odražava kombinaciju udaljene dostupnosti, nedostatka zahtjeva za autentifikaciju i potencijala za potpuno kompromitiranje pogođenog okruženja.
Zašto su izložene zadane konfiguracije
Jedan detalj koji je izazvao posebnu zabrinutost jest da ovi bugovi utječu standardne postavke bez neobične konfiguracijeTipična Next.js aplikacija generirana s create-next-app, kompiliran za produkciju i implementiran s zadanim opcijama može biti ranjiv odmah po instalaciji.
Isto vrijedi i za mnoge druge RSC-omogućeni okviri i alati koji objedinjuju react-server izvršenjeBudući da su usvojili protokol Flight onako kako ga je React dizajnirao, naslijedili su nesigurno ponašanje deserijalizacije. Programeri ne moraju dodavati nikakve egzotične značajke ili prilagođenu logiku parsiranja da bi se greška mogla iskoristiti.
Ova zadana izloženost povećava rizik da napadači mogu skenirajte internet za RSC ili krajnje točke poslužiteljskih funkcija i brzo nailaze na održive ciljeve. Nema potrebe za ukradenim vjerodajnicama ili postojećim pristupom: ako su relevantne krajnje točke dostupne s javnog interneta i pokreću ranjive verzije, nalaze se u opasnoj zoni.
Istraživači sigurnosti naglašavaju da čak i organizacije sa zrelim sigurnosnim programima mogu biti pogođene jer RSC se često implicitno omogućuje putem ažuriranja okvira i predložaka., a neki timovi možda ne shvaćaju da ga koriste u produkciji.
Opseg utjecaja na ekosustave Reacta i Next.jsa
Višestruke analize svode se na istu zaključak: opseg potencijalnog radijusa eksplozije je neuobičajeno velik. Podaci tvrtke Wiz Research sugeriraju da je oko 39% do 40% cloud okruženja sadrži instance Reacta ili Next.jsa ranjive na CVE-2025-55182 i/ili CVE-2025-66478To je značajan dio aplikacijskog sloja javnog interneta.
Problem nije ograničen samo na samostalne React instalacije. Next.js je, posebno, izuzetno raširen: pojavljuje se u gotovo 69% promatranih okruženja u nekim skupovima podataka, a većina njih pokreće javno dostupne Next.js aplikacije. Ta kombinacija znači da znatan dio cloud imanja izlaže ranjive krajnje točke izravno nepouzdanom prometu.
Što se tiče specifičnih komponenti, problem utječe React 19.0, 19.1.0, 19.1.1 i 19.2.0 serije koje uključuju nedostatke react-server implementacija. Što se tiče okvira, uključeno je i nekoliko popularnih alata koji integriraju RSC. Iako se točan utjecaj razlikuje, popis tehnologija povezanih s ranjivim protokolom uključuje:
- Dalje.js
- Dodatak Vite RSC (
@vitejs/plugin-rsc) - Dodatak za pakete RSC (
@parcel/rsc) - Pregled RSC-a za React Router
- RedwoodSDK
- Waku
Istraživači naglašavaju da bilo koji okvir ili biblioteka koja uključuje pogođeni sadržaj react-server izvršenje vjerojatno će biti u opsegu, čak i ako nije izričito naveden u ranim savjetima. Organizacijama se savjetuje da naprave popis svoje upotrebe RSC-a u alatima za izgradnju, pregledima i pilot projektima, a ne samo u produkcijskim aplikacijama s velikim prometom.
Pružatelji usluga u oblaku također su počeli reagirati. Na primjer, jedan je dobavljač primijetio da Njegove zadane javne OS slike za virtualne strojeve ne isporučuju se s ranjivim React komponentama omogućenim prema zadanim postavkama., iako to ne štiti opterećenja gdje korisnici sami instaliraju i konfiguriraju React ili Next.js.
Kako funkcionira eksploatacija i zašto je pouzdanost tako visoka
Iako dobavljači namjerno zadržavaju neke od detalja niske razine iskorištavanja kako bi braniteljima dali vremena za zakrpe, opći okvir je javan. Na visokoj razini, napadač treba samo izraditi HTTP zahtjev koji nosi određeni neispravno oblikovani RSC korisni teret usmjeren na krajnju točku poslužitelja koja parsira podatke React Flighta.
Budući da je ranjivi put koda dio standardne logike deserijalizacije, žrtva ne mora kliknuti na bilo što, prijaviti se ili izvršiti višekoračni tijek rada. Sve dok napadač može dosegnuti krajnju točku poslužiteljske funkcije ili RSC-a, može pokušati pokrenuti nesigurnu deserijalizaciju i usmjeriti izvršenje prema vlastitom korisnom teretu.
Tijekom testiranja, sigurnosni timovi su izvijestili da je iskorištavanje pokazalo „visoka vjernost“, sa stopom uspjeha koja se približava 100% nakon što je konfiguracija mete shvaćena. Takva vrsta pouzdanosti neuobičajena je za udaljene iskorištavanja i povećava vjerojatnost da napadači mogu automatizirati skeniranje i kompromitirati sustav u velikim razmjerima.
Stručnjaci također upozoravaju da Sada javno dostupne zakrpe i upozorenja učinkovito služe kao putokaz za obrnuti inženjeringČak i ako kod za iskorištavanje još nije široko objavljen, akteri prijetnji mogu proučiti razlike između ranjivih i ispravljenih verzija kako bi rekonstruirali ranjivu logiku i iskoristili je kao oružje, slično kao i riesgo. kadenom suministra npm-a.
Prema posljednjim izvješćima, nije bilo potvrđenih slučajeva raširenog iskorištavanja u divljini, ali više dobavljača sigurnosnih rješenja i istraživača očekuje da će se to brzo promijeniti. Napadači se utrkuju kako bi iskoristili nezakrpljene sustave prije nego što organizacije završe svoje napore sanacije.
Odgovori dobavljača i dostupne zakrpe
Otkriće CVE-2025-55182 pripisuje se istraživač sigurnosti Lachlan Davidson, koji je prijavio problem putem Metinog programa nagrađivanja za greške. Od početnog otkrivanja do izdavanja zakrpa, preokret je bio neuobičajeno brz, što odražava ozbiljnost greške i njezin doseg u web ekosustavu.
React tim je poslao ojačane verzije pogođenih paketaZa osnovnu biblioteku, održavatelji ukazuju na ažuriranja poput Reacta 19.0.1, 19.1.2 i 19.2.1 i ekvivalentne zakrpane varijante povezanih komponenti kao zatvaranje specifične rupe u deserijalizaciji u protokolu Flight.
Sa strane okvira, Vercel, koji održava Next.js, dodijelio je CVE-2025-66478 na utjecaj iste RSC greške na niže razine i izdao ažurirane verzije Next.js-a koje uključuju ispravljeno ponašanje React Server Components. Njihovo sigurnosno upozorenje objašnjava da ranjivost proizlazi iz načina na koji React dekodira korisne terete usmjerene za Krajnje točke poslužiteljskih funkcija i da zakrpa pooštrava te rutine dekodiranja.
Drugi okviri i autori dodataka koji se oslanjaju na RSC - poput održavatelja dodataka Redwood, Waku i RSC za Vite i Parcel - počeli su izdavati vlastite smjernice i ažuriranja verzija usklađena s ažuriranim zakrpama react-server kodKorisnici se upućuju da slijede najave specifične za projekt i upute za nadogradnju.
Nekoliko pružatelja usluga komercijalne sigurnosti također je odgovorilo. Na primjer Wiz je objavio unaprijed izrađen upit i savjet u svom Centru za prijetnje kako bi kupci mogli otkriti ranjive instance u svojim okruženjima, dok drugi dobavljači tvrde da određeni zaštitni zidovi web aplikacija mogu blokirati neke pokušaje iskorištavanja ako se React promet ispravno usmjerava kroz njih. Unatoč tome, održavateljima je jasno da podešavanja konfiguracije ili WAF pravila nisu zamjena za pravilno zakrpanje.
Procjena rizika: tko bi se trebao najviše brinuti?
Kratki odgovor je taj bilo koja organizacija koja koristi React 19 ili RSC-ovisne okvire u produkciji trebali bi ovo shvatiti ozbiljno, ali neki obrasci implementacije ističu se kao posebno izloženi. Javno usmjerene Next.js aplikacije, na primjer, predstavljaju primamljivu metu jer se često nalaze izravno na internetu i imaju RSC značajke omogućene prema zadanim postavkama.
Organizacije koje intenzivno koriste Funkcije poslužitelja, usmjeravanje vođeno poslužiteljem, pregledi ili eksperimentalne značajke temeljene na RSC-u su posebno izloženi riziku. U tim postavkama, korisni tereti leta vjerojatnije će se češće obrađivati, što protivnicima daje mnogo prilika za testiranje korisnih tereta i usavršavanje iskorištavanja.
Dijeljena ili višestanarska okruženja izazivaju dodatne zabrinutosti. Ako ranjiva React usluga radi sa širokim pristupom internim resursima, uspješan RCE mogao bi postati prekretnica za lateralno kretanje dublje u mrežu ili preko granica korisnika.
Analitičari također ističu da širina primjene Reacta - od strane tvrtki kao što su Meta, Netflix, Airbnb, Shopify, Walmart i mnoge druge—znači da utjecaj na stvarni svijet nije ograničen isključivo na tehničke izračune rizika. Kompromis u glavnom aplikacijskom stogu može imati domino efekte na korisnike, partnere i nizvodne ekosustave.
Konačno, čak i timovi koji vjeruju da se ne oslanjaju uvelike na RSC trebali bi provjeriti tu pretpostavku. Jer alati i standardni nacrti mogu tiho omogućiti RSC značajke, neki projekti mogu biti izloženiji nego što njihovi održavatelji na prvi pogled shvaćaju.
Praktični koraci ublažavanja za korisnike Reacta i Next.jsa
U svim savjetima jedna se točka dosljedno ponavlja: Nadogradnja na zakrpane verzije je jedino konačno rješenjeNe postoji konfiguracijska zastavica ili manja prilagodba koja u potpunosti neutralizira temeljno nesigurno ponašanje deserijalizacije bez ažuriranja pogođenih paketa.
Za organizacije koje izravno koriste React, održavatelji preporučuju prelazak na ojačana izdanja - kao što su 19.0.1, 19.1.2, 19.2.1 ili novija - zajedno s ažuriranim verzijama react-server i povezani RSC paketiTimovi bi se trebali konzultirati sa službenim sigurnosnim savjetima za React kako bi potvrdili točne verzije koje adresiraju CVE-2025-55182 u svom stablu ovisnosti.
Next.js projekti bi trebali slično nadogradite na zakrpane verzije okvira koje uključuju ispravak za CVE-2025-66478Budući da je zadana Next.js verzija dovoljna da bude pogođena, čak i male web-lokacije i interne nadzorne ploče zaslužuju pažnju, ne samo vodeće aplikacije.
Za okruženja koja koriste druge RSC-kompatibilne okvire - kao što su Redwood, Waku ili RSC dodaci za pakete poput Vitea i Parcela - savjet je da pomno pratite najave dobavljača i implementirajte sva ažuriranja koja uključuju ojačanu react-server izvršenje čim postanu dostupni. Gdje je to moguće, treba koristiti pripremna okruženja za validaciju ponašanja aplikacije prije uvođenja ispravaka u produkciju i primijeniti ih praktički kao što je to slučaj s gestión segura de secretos en GitHub Actions.
Paralelno s instaliranjem zakrpa, sigurnosni timovi mogu skeniranje ranjivih verzija i izloženih krajnjih točakaAlati dobavljača poput Wiza mogu pomoći u identificiranju mjesta na kojima se izvode ranjive instance Reacta ili Next.jsa, dok skeneri web sigurnosti i inventar imovine mogu mapirati koje su usluge dostupne s interneta u odnosu na to koje su ograničene na interne mreže.
Na što bi branitelji trebali paziti u bliskoj budućnosti
Otkriće CVE-2025-55182 i CVE-2025-66478 ilustrira poznati obrazac: pojavljuje se kritična greška u široko korištenoj komponenti, brzo se pojavljuju zakrpe, a zatim počinje utrka između branitelja i napadača. U ovom slučaju, kombinacija... CVSS rezultat 10.0, neautentificirani RCE i izloženost prema zadanim postavkama čini tu utrku posebno intenzivnom.
Istraživači sigurnosti predviđaju da će sljedeća faza uključivati brzi reverzni inženjering zakrpa od strane aktera prijetnji. Čak i bez objavljivanja detaljnog koda za provjeru koncepta, usporedba starih i novih verzija pruža dovoljno tragova vještim napadačima da rekonstruiraju ranjivu logiku.
Organizacije bi trebale očekivati porast skeniranje krajnjih točaka Reacta i Next.jsa, kao i detaljniji HTTP zahtjevi usmjereni na URL-ove funkcija poslužitelja i RSC-a. Sustavi za bilježenje i praćenje mogu ovdje igrati ulogu: anomalni ili neispravno oblikovani korisni tereti leta, neočekivane pogreške tijekom deserijalizacije i skokovi u zahtjevima prema određenim krajnjim točkama mogu biti rani pokazatelji pokušaja iskorištavanja i alati za testiranje kao što su Suradnik Burpa pueden ayudar a reproducir vectores.
Neki branitelji također ponovno posjećuju dubinske kontrole obrane oko svojih React implementacija. To može uključivati usmjeravanje prometa kroz vatrozidove web aplikacija, pooštravanje mrežne izloženosti internih servisa i provođenje strožih konfiguracija s najmanjim privilegijama za dozvole za izvođenje aplikacije kako kompromis ne bi automatski odobrio široki pristup.
Timovima za odgovor na incidente savjetuje se da pripremite se za potencijalne istrage koje uključuju ove CVE-oveTo može uključivati ažuriranje priručnika, osiguravanje da se relevantni zapisnici čuvaju dovoljno dugo da se analizira sumnjivo ponašanje i uspostavljanje kontakata s pružateljima usluga ili sigurnosnim dobavljačima koji mogu pomoći ako se posumnja na kompromitiranje.
Poruka istraživača, dobavljača i pružatelja usluga u oblaku je dosljedna: iako još nije javno potvrđeno široko rasprostranjeno iskorištavanje, tehnički uvjeti čine ovo atraktivnom metom i Čekanje na zakrpu značajno povećava prozor rizika.
S kritičnim greškama u izvršavanju udaljenog koda poput CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.jsu, praktična poruka je jednostavna: pretpostaviti da će se ranjive RSC krajnje točke provjeriti, dati prioritet nadogradnjama na ojačane verzije i koristiti dostupne alate za lociranje i zaštitu izloženih instanciZa web stog koji se uvelike oslanja na React i okolne okvire, pravovremena sanacija sada vjerojatno će se isplatiti u manjem broju hitnih slučajeva kasnije.
