CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.jsu: što nove RCE mane znače za web

Početna » Piton » CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.jsu: što nove RCE mane znače za web

Tijekom proteklih nekoliko dana, JavaScript ekosustav se borio s parom sigurnosne ranjivosti maksimalne ozbiljnosti u Reactu i Next.jsu koji otvaraju vrata udaljenom izvršavanju koda na pogođenim poslužiteljima. Nedostaci, dodijeljeni kao CVE-2025-55182 za React i CVE-2025-66478 za Next.js, usredotočite se na to kako React Server komponente obrađuju specijalizirani mrežni promet u takozvanom Flight protokolu.

Budući da ovi problemi utječu zadane konfiguracije okvira i mogu se pokrenuti samo izrađenim HTTP zahtjevom, brzo su se popeli na vrh popisa zakrpa mnogih sigurnosnih timova. Dobavljači, istraživači i pružatelji usluga u oblaku sada su usklađeni oko iste poruke: odmah instalirajte zakrpu, procijenite izloženost i pripremite se za široke pokušaje skeniranja i iskorištavanja.

Što su zapravo CVE-2025-55182 i CVE-2025-66478

U srži problema leži nedostatak u paket react-servera, komponenta koja pokreće React Server Components (RSC) i Flight protokol. U ranjivim verzijama, poslužitelj prihvaća posebno oblikovane RSC korisne terete i deserializira ih bez odgovarajuće validacije, što omogućuje podacima kojima upravljaju napadači da ometaju logiku koja se izvodi na poslužitelju.

Ovo ponašanje pretvara ono što bi trebali biti strukturirani podaci u sredstvo za izvršavanje privilegiranog JavaScripta na pozadini. Kada HTTP zahtjev cilja krajnju točku RSC-a ili Server Functiona sa zlonamjernim Flight payloadom, nesigurni put deserijalizacije može se zloupotrijebiti za postizanje neautentificiranog udaljenog izvršavanja koda (RCE). Nije potreban prethodni pristup, vjerodajnice ili interakcija korisnika.

React strana problema prati se kao CVE-2025-55182, ocijenjen na vrhu ljestvice s CVSS ocjenom 10.0. Budući da Next.js implementira RSC i Flight protokol preko ovih primitiva, nasljeđuje istu osnovnu slabost; taj utjecaj nizvodno je dodijeljen CVE-2025-66478 i nosi istu ocjenu ozbiljnosti.

Sigurnosna upozorenja opisuju grešku kao ranjivost logičke deserijalizacije a ne klasični problem sigurnosti memorije. Problem je u načinu na koji se korisni tereti parsiraju i pouzdani su, a ne u rukovanju međuspremnikom niske razine. Ipak, ishod je jednako ozbiljan: udaljeni napadač može upravljati izvršavanjem na strani poslužitelja.

Koje su postavke Reacta i Next.jsa ranjive

Utjecaji ranjivosti Serverski stek u Reactu 19 u nekoliko često korištenih verzija. Održavatelji su izdanja poput 19.0, 19.1.0, 19.1.1 i 19.2.0 označili kao ranjiva za react-server paket i njegova implementacija protokola Flight. Zakrpane grane distribuiraju se kao 19.0.1, 19.1.2 i 19.2.1, koji uvode logiku ojačane deserijalizacije.

Sa strane okvira, Next.js je pogođen odmah po instalacijiTipična aplikacija generirana s create-next-app, izgrađen za produkciju i implementiran s zadanim postavkama, može se iskoristiti bez dodatnog koda koji bi dodao programer. Vercel, tvrtka koja stoji iza Next.js-a, stoga je izdala vlastito upozorenje pod CVE-2025-66478 i objavila ažurirane verzije okvira koje koriste ispravljene React pakete.

Utjecaj nije ograničen samo na Next.js. Bilo koja komponenta ekosustava koja spaja se ili uključuje u komponente React Servera i protokol Flight je vjerojatno izložen. To uključuje, između ostalog, alate i okvire kao što su:

• Dalje.js
• @vitejs/plugin-rsc (Dodatak Vite RSC)
• @parcel/rsc (Parcel RSC dodatak)
• Pregled RSC-a za React Router
• RedwoodSDK / rwsdk
• Waku

Istraživački timovi su naglasili da zadane konfiguracije su općenito ugroženeDrugim riječima, čak i ako programer nije namjerno omogućio nikakve eksperimentalne zastavice ili neobične postavke, njihovo raspoređivanje i dalje može biti iskorištavajuće ako koristi pogođenu verziju React Server komponenti.

Koliko je lako iskorištavati i zašto su branitelji zabrinuti

Ono što je uznemirilo sigurnosnu zajednicu jest niska prepreka za iskorištavanjeViše istraživačkih skupina izvještava da napad na ove nedostatke zahtijeva samo slanje posebno izrađenog HTTP zahtjeva dostupnoj RSC ili Server Function krajnjoj točki. Nema potrebe za autentifikacijom, složenim preduvjetima ili interakcijom korisnika, što scenarij čini posebno atraktivnim za automatizirane napade.

U kontroliranom testiranju, timovi poput Wiz Researcha izgradili su funkcionalne probne metode i primijetili gotovo 100% pouzdanost u pokretanju RCE-a na ranjivim postavkama. Iako se ovi puni korisni sadržaji još ne objavljuju, konsenzus je da je temeljno ponašanje dovoljno jednostavno da drugi mogu rekonstruirati radne iskorištavanja proučavanjem javnih zakrpa.

S obzirom na popularnost Reacta i Next.jsa, nekoliko stručnjaka vjeruje da Masovno skeniranje i naoružanje su samo pitanje vremenaPostoje rane usporedbe s drugim visoko utjecajnim propustima na strani poslužitelja gdje je iskorištavanje poraslo nakon što su tehnički detalji i primjeri koda kružili u podzemnim zajednicama ili javnim repozitorijima.

Istraživači također ističu širina potencijalnih ciljevaReact podupire web-mjesta i aplikacije u velikim organizacijama na društvenim mrežama, e-trgovini, streamingu, SaaS-u i još mnogo toga. Okviri poput Next.js-a široko se koriste i za interne i za aplikacije usmjerene prema korisnicima, što znači da se ranjive instance mogu pojaviti duboko u korporativnim mrežama, kao i na javno dostupnim frontendovima.

U vrijeme kada su mnogi savjeti objavljeni, bilo je nema potvrđenih izvješća o iskorištavanju u divljiniMeđutim, analitičari kažu da je razumno pretpostaviti da akteri prijetnji već vrše obrnuti inženjering ispravaka i mapiraju koji su hostovi dostupni i pogrešno konfigurirani.

Koliko je izloženost raširena u okruženjima u oblaku

Nekoliko podataka iz skeniranja u oblaku ilustrira razmjere problema. Lovci na prijetnje u Wizu izvještavaju da oko 39% okruženja u oblaku Analizirani su instance Reacta ili Next.jsa koje pokreću verzije ranjive na CVE-2025-55182 i/ili CVE-2025-66478. Druge analize približavaju brojku 40% kada se obje tehnologije računaju zajedno.

Ako se konkretno pogleda Next.js, sam okvir se pojavljuje otprilike u 69% okruženja u svom skupu podataka. Od njih, značajna većina domaćina javno dostupne aplikacije izgrađeno na Next.js-u. Drugim riječima, njihova telemetrija sugerira da otprilike 44% svih cloud okruženja imati barem jednu instancu Next.js biblioteke izloženu internetu, bez obzira na to je li trenutno zakrpana.

Ova kombinacija od visoka gustoća raspoređivanja i izloženost javnosti upravo je ono što napadači traže kada biraju u koje ranjivosti će uložiti trud. Jedan lanac iskorištavanja može se ponovno upotrijebiti u velikom broju protiv mnogih meta sa sličnim postavkama, a automatizirani alati mogu pretražiti cijele IP raspone kako bi pronašli nezakrpane poslužitelje.

Neki pružatelji usluga rade na sužavanju radijusa eksplozije. Na primjer, Google je naznačio da zadane javne slike OS-a korištene na Google Cloudovom Compute Engineu nisu ranjive odmah po instalaciji, iako korisnici i dalje moraju revidirati i ažurirati sve aplikacije koje implementiraju preko tih slika.

Ponuda prodavača Vatrozidi web aplikacije (WAF-ovi) također se uključuju u raspravu. Cloudflare je, na primjer, sugerirao da njegov WAF može pomoći u zaštiti nekih React aplikacija od pokušaja iskorištavanja kada je promet u potpunosti usmjeren kroz uslugu, iako je takve zaštite najbolje promatrati kao dodatni sloj, a ne kao zamjenu za ažuriranje temeljnog softvera.

Vremenski okvir, otkrivanje i odgovor dobavljača

Niz događaja oko CVE-2025-55182 i CVE-2025-66478 odvijao se brzo. Istraživač sigurnosti Lachlan Davidson identificirao je problem u načinu na koji React dekodira korisne terete usmjerene prema krajnjim točkama React Server Functiona i prijavio ga putem Metinog programa za nagrađivanje grešaka krajem studenog.

React, izvorno razvijen u Meti, a sada temelj mnogih modernih web paketa, brzo se proširio nakon što je izvješće potvrđeno. U roku od otprilike četiri danaReact tim je, u koordinaciji s Metom, izdao hitna ažuriranja za pogođene 19.x linije, zajedno sa sigurnosnim savjetovanjem u kojem se poziva na hitne nadogradnje.

Na isti dan, Vercel je objavio vlastito savjetovanje za Next.js pod CVE-2025-66478. Održavatelji okvira objavili su zakrpe, smjernice za korisnike i detalje o tome kako implementacija RSC-a u Next.js-u nasljeđuje ranjivo ponašanje iz Reactovih poslužiteljskih biblioteka.

Mnogi javni članci namjerno izostaviti detaljne detalje iskorištavanja korak po korak za sada. Umjesto toga, usredotočuju se na objašnjavanje rizika, navođenje pogođenih komponenti i verzija te usmjeravanje korisnika na ažurirane verzije. Cilj je dati braniteljima vremena za implementaciju ispravaka, a istovremeno usporiti manje sofisticirane napadače.

Glasovi industrije, uključujući istraživače u tvrtkama poput watchTowra i Rapid7, ponovili su poruku da je ovo problem visokog prioriteta za svakoga tko koristi React ili Next.js u produkciji, i da bi prozor prije javnog iskorištavanja površine mogao biti kratak.

Što bi timovi trebali učiniti upravo sada

Za organizacije koje koriste React Server Components, Next.js ili bilo koji od RSC-omogućenih dodataka i okvira, najjasnije smjernice su da nadogradnja na ojačane verzije je jedino potpuno ublažavanjeNe postoji konfiguracijski prekidač koji sigurno neutralizira grešku, a istovremeno ostaje na ranjivim izdanjima.

Na Reactovoj strani, to znači prelazak s pogođenih 19.x verzija kao što su 19.0, 19.1.0, 19.1.1 i 19.2.0 na 19.0.1, 19.1.2 ili 19.2.1, ovisno o tome na koju je granu projekt pričvršćen. Ove verzije uključuju strože provjere oko korisnih tereta protokola Flight i zatvaraju nesigurno ponašanje deserijalizacije.

Za korisnike Next.js-a, preporuka je da ažuriranje zakrpljenih izdanja okvira najavljeno u Vercelovom savjetovanju, osiguravajući da stablo ovisnosti povlači fiksne pakete React servera. Čak i projekti koji eksplicitno ne koriste RSC u vlastitom kodu mogu i dalje biti izloženi ako okvir omogućuje serverske komponente "unutar haube".

Timovi koji se oslanjaju na druge RSC-omogućene pakete - uključujući Redwood, Waku, pregled React Router RSC-a i RSC dodatke za Vite i Parcel - trebali bi pratiti službene kanale iz tih projekata. Mnogi od njih objedinjuju vlastite kopije runtime okruženja React servera, pa njihovi održavatelji objavljuju specifične upute za ažuriranje i brojeve verzija koje treba tražiti.

Za organizacije s velikim utjecajem na oblak može biti teško znati gdje se nalaze svi ranjivi dijelovi. Neki dobavljači sigurnosnih rješenja, poput Wiza, nude unaprijed izrađeni upiti i savjeti unutar svojih platformi kako bi pomogli korisnicima identificirati pogođene instance Reacta i Next.jsa u različitim okruženjima. Drugi pak daju logiku detekcije i pravila skeniranja na raspolaganje internim sigurnosnim timovima za prilagodbu.

Što to znači za širi web ekosustav

Pojava CVE-2025-55182 i CVE-2025-66478 potiče širu raspravu o tome kako Serverski JavaScript okviri obrađuju složene formate serijalizacijeRSC i Flight protokol su moćni alati za izgradnju modernih aplikacija, ali ista fleksibilnost koja omogućuje napredne značajke može također uvesti suptilne površine za napad ako logika parsiranja nije pažljivo zaključana.

Za developere, ova epizoda je podsjetnik da Oslanjanje na zadano ponašanje okvira ne jamči sigurnost i važnost zaštite od napadi na opskrbni lanac protiv NPM-aU ovom slučaju, obične, standardne postavke bile su dovoljne da izlože aplikaciju neautentificiranom RCE-u. Praćenje sigurnosnih savjeta, prikvačivanje ovisnosti i brza primjena ažuriranja postaju neizostavan zadatak za timove koji isporučuju usluge temeljene na Reactu ili Next.jsu.

S obrambenog stajališta, organizacije koriste ovaj događaj kako bi preispitale svoje strategije slojevite zaštiteZakrpe su u prvom planu, ali mnogi također razmatraju pooštravanje kontrola pristupa administrativnim ili internim krajnjim točkama, primjenu WAF pravila za uočavanje sumnjivog prometa Flight protokola i poboljšanje uočljivosti oko pogrešaka na strani poslužitelja koje bi mogle ukazivati ​​na pokušaje iskorištavanja.

Situacija također naglašava koliko interneta sada ovisi o relativno malom skupu dijeljene komponente otvorenog kodaJedna greška u široko prihvaćenoj biblioteci može se proširiti kroz pružatelje usluga u oblaku, SaaS platforme i poslovna okruženja u samo nekoliko dana. Koordinirano otkrivanje, brz odgovor dobavljača i jasna komunikacija postaju ključni kada je toliko organizacija pogođeno odjednom.

Za sada je fokus na tome da se ranjive instalacije Reacta i Next.jsa prebace na fiksna izdanja prije iskorištavanje postaje rutinaS obzirom na to da istraživači izvještavaju o gotovo savršenoj pouzdanosti iskorištavanja, ranjivosti zadanih konfiguracija i značajnom dijelu okruženja u oblaku koji koriste pogođene verzije, ovi CVE-ovi su brzo prešli iz nejasnih detalja protokola u hitan operativni problem za timove koji održavaju moderne JavaScript aplikacije.

Povezani članak:

Detaljan vodič za NPM sigurnosnu reviziju i napade na lanac opskrbe