- Kritična greška CVE-2025-55182 u React Server Components omogućuje neautentificirano udaljeno izvršavanje koda putem nesigurne deserijalizacije.
- Problem se kaskadno širi nizvodno do Next.js-a kao CVE-2025-66478, pri čemu su obje ranjivosti ocijenjene s maksimalnom ozbiljnošću (CVSS 10).
- Zadane konfiguracije su otkrivene, a istraživači izvješćuju o gotovo 100% pouzdanosti iskorištavanja u mnogim stvarnim okruženjima.
- Dobavljači su objavili smjernice i zakrpe, a organizacije koje koriste React ili Next.js trebale bi odmah ažurirati i pregledati svoje implementacije.
Otkrivanje CVE-2025-55182 u komponentama React Servera i njegov utjecaj na Next.js brzo je postala jedna od najčešće raspravljanih sigurnosnih priča u svijetu web razvoja. Propust otkriva kritičan put napadačima za postizanje udaljenog izvršavanja koda na poslužiteljima koji se oslanjaju na ove iznimno popularne tehnologije.
Za timove koji su prihvatili moderni React i Next.js paket, ovo nije apstraktna akademska greška. Istraživači sigurnosti upozoravaju da je iskorištavanje realistično i vrlo pouzdanoi da zadane konfiguracije ostavljaju mnoga produkcijska implementacije neočekivano otvorenima za napade ako se brzo ne zakrpe.
„React2Shell“: Kritična ranjivost koja potresa web – i zašto je važna
Ranjivost u središtu ove situacije, javno praćeno kao CVE-2025-55182, utječe na protokol iza React Server Components (RSC). Istraživači su put iskorištavanja nazvali "React2Shell" kako bi naglasili da uspješan napad može prijeći s izrađenog RSC zahtjeva na potpuni pristup na razini ljuske na temeljnom poslužitelju.
Na visokoj razini, nedostatak se pojavljuje zbog nesigurna deserijalizacija korisnih tereta koji se dostavljaju krajnjim točkama React Server FunctionKada poslužiteljska komponenta obrađuje ove posebno izrađene korisne podatke, napadač se može prebaciti s naizgled bezazlenog rukovanja podacima na proizvoljno izvršavanje koda bez potrebe za autentifikacijom.
Iako se korijen problema nalazi u implementaciji otvorenog koda Reacta, njegov utjecaj tu ne staje. Next.js, koji se temelji na Reactu i široko se koristi za aplikacije produkcijske razine, nasljeđuje problem u rukovanju logikom na strani poslužitelja. Taj nizvodni rizik je zasebno katalogiziran kao CVE-2025-66478, učinkovito proširujući radijus eksplozije na velikom dijelu modernog web stoga.
I CVE-2025-55182 i njegov pandan Next.js su bili dodijeljena maksimalna ocjena ozbiljnosti od 10 prema zajedničkom sustavu bodovanja ranjivosti. Ova ocjena odražava kombinaciju mogućnosti udaljenog iskorištavanja, nedostatka zahtjeva za autentifikaciju i potencijala za potpuno kompromitiranje sustava.
Što je React2Shell – i kako funkcionira?
Ispod haube, React Server komponente oslanjaju se na protokol gdje klijent i poslužitelj razmjenjuju serijalizirane korisne podatke za rukovanje renderiranjem i logikom na strani poslužitelja. Jezgra React2Shella je u tome što Ovi korisni tereti mogu se manipulirati na način koji pokreće nesigurnu deserijalizaciju, što učinkovito omogućuje da se unos koji kontrolira napadač interpretira kao izvršne instrukcije na poslužitelju.
U tipičnom scenariju napada, protivnik izrađuje zlonamjerni teret koji cilja na Krajnja točka React Server Function izložena od strane aplikacijeBudući da se ranjivost može aktivirati bez autentifikacije, napadaču je potreban samo mrežni pristup krajnjoj točki da bi pokušao iskoristiti ranjivost.
Nakon što se zlonamjerni teret obradi, poslužitelj ga može deserializirati na nesiguran način, učinkovito brišući granicu između podataka i koda. To otvara vrata udaljenom izvršavanju koda, što napadaču omogućuje izvršavanje proizvoljnih naredbi s dopuštenjima procesa poslužitelja.
Prema nalazima koje su javno podijelili istraživači iz Wiza, put iskorištavanja nije samo teoretski. Tijekom internih eksperimenata, izvijestili su o iskorištavanju "visoke vjernosti" sa stopom uspjeha blizu 100%. u okruženjima koja su testirali. Ta razina pouzdanosti dramatično smanjuje barijeru za napadače i povećava hitnost za branitelje, kao što je prikazano u nedavnim slučajevima. ataques a la cadena de suministro de npm.
Ono što ovo čini posebno zabrinjavajućim za praktičare jest to što Ranjivo ponašanje prisutno je u zadanim konfiguracijamaDrugim riječima, programeri nisu nužno morali odabrati nesigurne postavke; mnoge aplikacije su izložene jednostavno zato što koriste standardni, preporučeni stog.
Opseg i utjecaj: Zašto je toliko projekata u opasnosti
Uključene tehnologije čine ovaj problem posebno raširenim. React, rođen na Facebooku, a sada održavan kao biblioteka otvorenog koda, temelj je velikog dijela modernih web sučelja. zbog svog modela i ekosustava temeljenog na komponentama. Next.js, koji održava Vercel, postao je glavni okvir za izgradnju React aplikacija spremnih za produkciju s renderiranjem na strani poslužitelja i API rutama.
Zbog ove popularnosti, broj pogođenih implementacija nije trivijalan. Wizovi istraživači procijenili su da oko 40% ispitanih cloud okruženja sadrži ranjive instance Reacta ili Next.jsa.Taj pregled sugerira da greška nije rubni slučaj, već opća zabrinutost u širokom rasponu organizacija i industrija.
Praktični utjecaj uspješnog iskorištavanja može biti ozbiljan. Nakon što napadači dobiju pristup daljinskom izvršavanju koda putem CVE-2025-55182 ili povezane ranjivosti Next.js, potencijalno mogu pristupiti osjetljivim podacima, kretati se bočno unutar okruženja, postavljati stražnja vrata ili koristiti kompromitirane poslužitelje kao početne točke za daljnje napade.
Benjamin Harris, osnivač i izvršni direktor tvrtke watchTowr, istaknuo je da iako su javni tehnički detalji još uvijek relativno ograničeni, Objavljivanje zakrpa je dovoljno da usmjeri odlučne napadačeNakon što počnu pregledavati promjene koda i savjetodavne bilješke, postaje znatno lakše reproducirati put iskorištavanja i iskoristiti ga kao oružje u praksi.
Ta dinamika - objavljivanje zakrpa prije široko rasprostranjene sanacije - često stvara utrku. Organizacije se sada učinkovito natječu s prijetnjama. implementirati ispravke i korake za ublažavanje prije nego što se pokušaji iskorištavanja pojačaju.
Zašto je React2Shell posebno opasan
Brojni čimbenici zajedno izdvajaju ovu ranjivost iz uobičajenog toka sigurnosnih savjeta. Prvo, Nedostatak zahtjeva za autentifikaciju znači da anonimni napadači mogu izravno ciljati izložene krajnje točkeBilo koja javno dostupna krajnja točka poslužiteljske komponente odmah postaje dio površine napada.
Drugo, način na koji se bug manifestira u stvarnim uvjetima dovodi do izuzetno visoka pouzdanost iskorištavanjaKao što je Wiz izvijestio, pod tipičnim konfiguracijama put iskorištavanja funkcionirao je gotovo svaki put u njihovim scenarijima provjere koncepta, smanjujući potrebu za složenim ili krhkim lancima napada.
Treće, problem pogađa srž načina na koji React Server Components i Next.js obrađuju logiku na strani poslužitelja. Budući da je nedostatak vezan uz sam RSC protokol, a ne samo uz značajku uskog ruba, mnoge aplikacije nasljeđuju rizik jednostavnim praćenjem standardnih obrazaca koje promovira službena dokumentacija.
Konačno, širi kontekst ekosustava je važan. React i Next.js su duboko ugrađeni u cloud-native i mikroservisne arhitekture koji pokreću sve, od malih startupa do velikih poduzeća. Jedna kompromitirana serverska komponenta mogla bi pružiti ulaznu točku u mnogo veće i složenije okruženje.
Zajedno, ova svojstva objašnjavaju zašto su obje ranjivosti ocijenjene maksimalnom razinom ozbiljnosti i zašto sigurnosna zajednica snažno potiče brzo postavljanje zakrpa i proaktivna procjena rizika a ne pristup "čekajmo i vidjet ćemo".
Što se već radi (i što biste trebali učiniti odmah)
Nakon što je problem prijavljen putem programa Meta Bug Bounty — istraživač Lachlan Davidson obavijestio je React tim 29. studenog — održavatelji su krenuli istražiti, ispraviti i koordinirati objavu. Projekt React i Vercel, tvrtka koja stoji iza Next.js-a, sada su objavili smjernice koje će pomoći korisnicima da ažuriraju svoj softver.
Sa strane prodavatelja, Zakrpe i savjetodavne bilješke opisuju koje su verzije pogođene i kako nadograditiOrganizacije koje koriste React Server Components ili Next.js trebale bi pažljivo pregledati ove dokumente, identificirati koja su implementacije obuhvaćena i zakazati ažuriranja kao glavni prioritet.
S obzirom na to da su zadane konfiguracije ranjive, rizično je pretpostaviti da će "prilagođene postavke" ili minimalna upotreba ponuditi zaštitu. Sigurnosni timovi trebali bi napraviti popis svih aplikacija koje se oslanjaju na React Server Components ili Next.js, obraćajući posebnu pozornost na javno dostupne krajnje točke izložene internetu.
Iako je nanošenje zakrpa primarni korak, razumno je razmotriti i kratkoročna ublažavanja. Ograničavanje nepotrebnog javnog izlaganja krajnjih točaka poslužiteljskih komponenti, pooštravanje kontrola pristupa mreži gdje je to moguće i poboljšanje praćenja sumnjivih obrazaca zahtjeva mogu smanjiti rizik tijekom uvođenja ažuriranja, además de revisar la gestión segura de secretos en GitHub Actions.
Organizacije bi također mogle željeti blisko surađivati sa svojim razvojnim timovima kako bi pregledajte zapise, planove za odgovor na incidente i sve znakove neuobičajene aktivnosti oko React ili Next.js servisa, uključujući i korištenje Burp suradnika para detektor interacciones fuera de banda.
Što to znači za web ekosustav – i na što treba paziti
Pojava CVE-2025-55182 i njegovog pandanta Next.js postavlja šira pitanja o kako se brzo razvijajući web okviri upravljaju sigurnošću u složenim značajkama na strani poslužiteljaKomponente React Servera, iako moćne, uvode nove komunikacijske obrasce i logiku serijalizacije koji zahtijevaju rigoroznu provjeru.
Za širi ekosustav, ovaj incident je podsjetnik da čak i zrele, široko prihvaćene tehnologije mogu sadržavati ranjivosti visokog utjecaja ukorijenjene u suptilnim detaljima implementacijeKombinacija optimizacija performansi, praktičnosti za razvojne programere i fleksibilnih API-ja ponekad može prikriti duboke sigurnosne pretpostavke dok ih istraživači ne testiraju na stres.
U budućnosti je vjerojatno da će i React i Next.js zajednice vidjeti povećani fokus na sigurno rukovanje funkcijama poslužitelja, serijalizaciju korisnog tereta i zadane konfiguracijeOrganizacije koje vode računa o sigurnosti mogu se također zalagati za jasnije smjernice, eksplicitnije opcije osiguranja i proširenu dokumentaciju o sigurnim praksama prilikom izgradnje s poslužiteljskim komponentama.
U međuvremenu, branitelji bi trebali pomno pratiti ažuriranja službenih kanala projekta, dobavljača sigurnosnih rješenja i istraživača koji nastavljaju analizirati ranjivost. Novi dokazi koncepta, pravila detekcije i preporuke najbolje prakse vjerojatno će se pojaviti kako sve više stručnjaka bude istraživalo detalje React2Shella i njegovih varijanti.
U konačnici, ova epizoda naglašava da Održavanje sigurnosti modernih web stranica je kontinuirani proces, a ne jednokratni zadatak postavljanja. Kako se okviri razvijaju, tako se razvijaju i njihove potencijalne površine za napad, a organizacije koje se brzo prilagode obično bolje prolaze kada se otkriju kritični nedostaci.
Za svaki tim koji se oslanja na React ili Next.js u produkciji, CVE-2025-55182 služi kao jasan signal: tretirati značajke na strani poslužitelja s istom sigurnosnom strogošću kao i bilo koju drugu kritičnu infrastrukturu, pratite uzvodne upute i budite spremni brzo reagirati kada se pojave problemi s ovom razinom utjecaja.
Ovaj izvještaj temelji se na informacijama koje su izvorno objavili mediji usmjereni na kibernetičku sigurnost i savjeti dobavljača, ističući kako React2Shell se brzo prebacio s privatnog izvješća na hitni prioritet za organizacije diljem weba.
