CVE-2025-55182 i CVE-2025-66478: Kritični RCE u React Server komponentama i Next.js-u

Početna » piton » CVE-2025-55182 i CVE-2025-66478: Kritični RCE u React Server komponentama i Next.js-u

Otkriće CVE-2025-55182 u Reactu i njegov pratilac CVE-2025-66478 u Next.js-u poslao je jasno upozorenje cijelom svijetu modernog web razvoja. Ovi problemi izlažu servere koji koriste React Server Components (RSC) i frameworkove koji implementiraju RSC "Flight" protokol neautentificiranom udaljenom izvršavanju koda, čak i kada rade s potpuno standardnom, gotovim konfiguracijama.

Ono što ovu situaciju čini posebno zabrinjavajućom jeste kako napadaču je potreban mali napor da se greška iskoristi kao oružje: kreirani HTTP zahtjev usmjeren na ranjivu krajnju tačku može biti dovoljan za pokretanje proizvoljnog koda na serveru. S obzirom na to da veliki udio cloud okruženja ovisi o Reactu i Next.js-u, hitnost za administratore i programere da instaliraju zakrpe je teško precijeniti.

Razumijevanje CVE-2025-55182 i CVE-2025-66478

CVE-2025-55182 se odnosi na osnovnu grešku u react-server paket, komponenta koja podržava React Server komponente i njihov "Flight" protokol. Ovaj paket je odgovoran za rukovanje specijaliziranim korisnim opterećenjima koja se koriste kada se komponente renderirane od strane servera strimuju klijentu, mehanizam koji je ključan za novi React 19 ekosistem.

Paralelno, CVE-2025-66478 prikazuje uticaj na Next.js, koji integriše React Server komponente i ponovo koristi isti osnovni protokol. Budući da se Next.js gradi direktno na ovoj RSC infrastrukturi, svaka slabost u protokolu se odmah nasljeđuje od strane tipičnih Next.js aplikacija, uključujući i one koje su pokrenute alatima kao što su create-next-app.

Oba identifikatora opisuju kritične, neautentificirane ranjivosti udaljenog izvršavanja kodaSigurnosni timovi su ih ocijenili maksimalnim ocjenama ozbiljnosti, što odražava ne samo njihov tehnički utjecaj, već i činjenicu da je iskorištavanje moguće u stvarnim scenarijima implementacije bez složenih preduvjeta.

Istraživači su također primijetili da je pogođeno ponašanje omogućeno prema zadanim postavkama u mnogim konfiguracijama. To znači da aplikacije ne moraju koristiti nikakve neobične obrasce ili dodavati rizične opcije da bi bile izložene; jednostavno usvajanje trenutnih RSC-baziranih stekova može biti dovoljno da naslijedi ranjivost.

Iza kulisa, problem proizlazi iz načina RSC korisni tereti se prihvataju i obrađuju logikom na strani servera. Umjesto temeljite validacije i ograničavanja nepouzdanih ulaza, proces deserijalizacije omogućava podacima koje kontrolira napadač da oblikuju putanje izvršavanja na serveru.

Kako protokol Flight postaje put do RCE-a

Osnovni uzrok iza CVE-2025-55182 u komponentama React Servera je logička greška deserijalizacije u rukovanju RSC "Flight" protokolom. RSC koristi specijalizirani žični format za opis stabala komponenti, svojstava i akcija servera, koje server kodira, a klijent dekodira kao dio renderiranja.

Kada server primi Zlonamjerno formiran letački teret, trebao bi tretirati svaki dio tih podataka kao nepouzdan. Umjesto toga, ranjiva implementacija obrađuje ovaj ulaz na način koji mu efektivno omogućava da utiče na ponašanje privilegovanog servera. Korak nesigurne deserijalizacije postaje most između neprijateljskih podataka i JavaScript koda koji se izvršava sa punim serverskim privilegijama.

Istraživači sigurnosti opisuju ovu klasu problema kao nesigurna deserijalizacijaAplikacija uzima složene ulazne strukture, rekonstruiše objekte ili tokove izvršenja iz njih i ne uspijeva postaviti snažne zaštitne mjere oko onoga što je tim rekonstruisanim objektima dozvoljeno da rade. U ovom slučaju, otvara vrata napadaču da usmjerava izvršenje prema proizvoljnim putanjama koda.

Tokom testiranja, istraživački timovi su izvijestili gotovo savršena pouzdanost prilikom pokušaja eksploatacijeNapadi zasnovani na dokazu koncepta, iako nisu u potpunosti otkriveni kako bi se ograničila oportunistička zloupotreba, pokazali su se uspješnima u izvršavanju udaljenog koda sa stopom uspjeha blizu 100%. Jedini praktični zahtjev je mogućnost isporuke kreiranog HTTP zahtjeva izloženoj RSC krajnjoj tački.

Napad je, dakle, udaljeno i neautentificiranoNije potrebna važeća sesija, procurili token i prethodno prisustvo. Javno dostupna Next.js ili druga RSC-bazirana aplikacija koja nije ažurirana može se ispitati i, ako je ranjiva, kompromitovati.

Ko i šta je pogođeno

Budući da je ranjivost ukorijenjena u implementacija jezgre react-servera, njegov utjecaj se proteže izvan samog Reacta i Next.js-a na bilo koji framework koji na sličan način objedinjuje ili integrira RSC. Ovo je znatno proširilo opseg potencijalne izloženosti u odnosu na jednu biblioteku ili proizvod koji održava dobavljač.

Javne analize su istakle Next.js kao najistaknutija downstream meta, s obzirom na njegovu popularnost i duboku RSC integraciju. Podaci koje je prikupio Wiz Research pokazuju da značajan udio cloud okruženja koristi verzije Reacta ili Next.jsa koje spadaju u ranjivi raspon, što dovodi u opasnost značajan dio infrastrukture za renderiranje na strani servera na webu.

Procjene iz tih procjena sugeriraju da oko 39%-40% cloud okruženja sadrže barem jednu instancu Reacta ili Next.jsa na koju utiču ovi CVE-ovi. Sam Next.js se pojavljuje u većini tih okruženja, a u mnogim slučajevima pokreće javno dostupne aplikacije izložene direktno internetu.

Iza Next.js-a, bilo koji okvir ili alat koji ugrađuje paket react-server ili na drugi način podržava RSC je potencijalno izložen. Primjeri koji su označeni uključuju:

• Next.js, u verzijama koje podržavaju RSC.
• Vite RSC dodaci koji pružaju podršku za serverske komponente.
• Dodaci za RSC pakete sa integrisanim React Server komponentama.
• Pregledi React Routera RSC-a ili eksperimentalna izdanja.
• RedwoodSDK implementacije korištenjem RSC karakteristika.
• Waku i slični novonastali okviri vođeni RSC-om.

Prodavci cloud platformi su počeli razjašnjavati radijus eksplozije iz svoje perspektive. Na primjer Google je naznačio da standardne javne slike operativnih sistema na Google Cloudu Za Compute Engine, RSC stekovi se ne isporučuju s ranjivim RSC stekovima po defaultu. Međutim, kada korisnici implementiraju vlastite React ili Next.js aplikacije preko tih slika, odgovornost za zakrpu je na njima.

Zašto se rizik smatra ekstremnim

Nekoliko karakteristika se kombinuje kako bi se stvorilo CVE-2025-55182 i CVE-2025-66478 posebno zabrinjavajuće za branitelje. Prvo, površina napada je utkana u način na koji RSC komunicira preko mreže, tako da se do njega može doći putem običnog HTTP prometa u mnogim postavkama. Serverima nije potrebno omogućiti egzotične funkcije da bi bili dostupni; dovoljno je standardno raspoređivanje.

Sekunda, Zadana konfiguracija je ranjiva za tipične aplikacije koje koriste pogođeni RSC protokol. Programeri koji su se oslanjali na preporučene, gotove alate i najbolje prakse mogli su nesvjesno implementirati aplikacije koje su ranjive, a da nisu ništa prilagodili.

Treće, uticaj uspješnog iskorištavanja je otprilike najozbiljniji: potpuno udaljeno izvršavanje koda na serveruKada napadač dostigne ovaj nivo, obično može izvršavati proizvoljne naredbe, prodrijeti dublje u okruženje, ukrasti podatke ili mijenjati logiku aplikacije. U okruženjima zasnovanim na oblaku, gdje su usluge čvrsto integrirane, to se može brzo pretvoriti u širi kompromis.

Istraživači sigurnosti su također izrazili zabrinutost da, sada kada zakrpe i upozorenja su javni, samo je pitanje vremena kada će protivnici rekonstruirati promjene kako bi izgradili vlastite exploite, kao što je objašnjeno u vodiči o npm sigurnosti.

Na kraju, čista sveprisutnost Reacta i Next.jsa u produkcijskim okruženjima povećava rizik. React je jedna od najčešće korištenih JavaScript biblioteka za izgradnju interfejsa, a Next.js je postao glavni okvir za serverski renderirane i hibridne aplikacije. Greška u nišnoj komponenti je možda ostala relativno pod kontrolom; greška u RSC-u dotiče ogroman dio web steka.

Odgovor dobavljača i sigurnosnih timova

Nakon što je ranjivost identificirana, proces otkrivanja se brzo odvijao. Istraživač sigurnosti Lachlan Davidson prijavio je grešku React timu putem Metinog programa za nagrađivanje grešaka krajem novembra. Ovo rano obavještenje omogućilo je održavateljima da prouče problem, pripreme poboljšana izdanja i koordiniraju smjernice s downstream frameworkovima kao što je Next.js.

Održavatelji Reacta su od tada objavljene ažurirane verzije Reacta i paketa react-server koji se bave nesigurnim ponašanjem deserijalizacije u Flight protokolu. Ove ojačane verzije su dizajnirane za sigurnije rukovanje RSC korisnim teretima, zatvarajući puteve koda koji su prethodno dozvoljavali nepouzdanim podacima da diktiraju izvršavanje na strani servera.

Vercel i Next.js tim je izdao vlastite savjete, s detaljnim opisom koje su verzije pogođene i kako bi korisnici trebali ažurirati. Cilj je bio da se timovima što više olakša identifikacija pogođenih implementacija i prelazak na zakrpe, uključujući i aplikacije kreirane uobičajenim alatima kao što su create-next-app.

Na defanzivnoj strani, Wiz Research i drugi dobavljači sigurnosnih proizvoda objavili su analize, skeniranja i upite kako bi pomogli organizacijama da otkriju ranjive instance u svojim cloud okruženjima. Wiz je, na primjer, dodao unaprijed izgrađene upite i savjete centra za prijetnje kako bi istaknuo instalacije Reacta i Next.jsa koje se i dalje oslanjaju na manjkavu RSC implementaciju.

Stručnjaci u zajednici za odgovor na incidente također se pripremaju za vjerovatnoću da će se neke organizacije suočiti pokušaji eksploatacije u stvarnom svijetuZaštitarske firme su ohrabrile timove koji sumnjaju na ciljanu aktivnost koja uključuje CVE-2025-55182 ili CVE-2025-66478 da... brzo angažujte stručnjake za odgovor, idealno prije nego što napadači mogu produbiti svoje uporište.

Hitni koraci za programere i operatere

Za timove odgovorne za web aplikacije izgrađene na React Server komponentama, Nadogradnja na ojačane verzije je jedino pouzdano ublažavanjeSamo podešavanje konfiguracije vjerovatno neće u potpunosti eliminisati rizik, a istovremeno očuvati normalnu funkcionalnost RSC-a, jer je greška ugrađena u način na koji se sam protokol obrađuje.

Praktično plan odgovora za organizacije može izgledati ovako:

• Inventar svih React i Next.js aplikacija, uključujući interne alate i manje vidljive usluge, ne samo vodeće javno dostupne stranice.
• Identifikujte koja implementiranja koriste RSC ili se oslanjaju na verzije React i Next.js su označeni kao ranjivi od strane dobavljača.
• Nadogradite React, react-server i Next.js na ojačane verzije koje su objavili održavatelji, slijedeći njihove smjernice specifične za verziju.
• Provjerite ostale RSC-om omogućene okvire kao što su Redwood, Waku ili RSC dodaci za Vite i Parcel, i primijenite ažuriranja čim ih održavatelji objave.
• Pregled zapisnika i telemetrije oko RSC krajnjih tačaka za neobične, oštećene ili sumnjive zahtjeve koji mogu ukazivati ​​na pokušaje sondiranja ili iskorištavanja.

Organizacije koje koriste alate za sigurnost u oblaku također mogu iskoristite sadržaj za detekciju koji je obezbijedio dobavljač kako bi se ubrzao ovaj proces. Na primjer, upiti koje pruža Wiz mogu pomoći u lociranju ranjivih paketa i okvira u višeoblačnim implementacijama, smanjujući šansu da previđena usluga ostane izložena.

Gdje je to moguće, timovi bi također mogli razmotriti privremeno ograničavanje izloženosti krajnjih tačaka RSC-a iza dodatnih slojeva kontrole pristupa, ograničavanja brzine ili zaštitnih zidova aplikacija dok se objavljuju zakrpe. Ove mjere su privremene, a ne potpuna rješenja, ali mogu pomoći u smanjenju prozora prilika za napadače.

Kao i kod svakog visokoprofiliranog RCE-a, zatezanje praćenje kritične imovine je podjednako važno. Upozoravanje na anomalije u kreiranju procesa, odlaznim mrežnim vezama sa aplikacijskih servera i neočekivanim promjenama konfiguracije može pomoći u ranom otkrivanju uspješne eksploatacije.

Dugoročne implikacije za web ekosistem

Pojava CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.js-u također potiče širu diskusiju o tome kako se nove funkcije web platforme dizajniraju i uvode. Renderiranje na strani servera i serverske komponente obećavaju prednosti performansi i iskustva za programere, ali također koncentriraju mnogo snage i složenosti u relativno malom skupu protokola i biblioteka.

Jedna lekcija iz ovog incidenta je da Slojevi serijalizacije i deserijalizacije zahtijevaju posebnu pažnjuSvaki mehanizam koji rekonstruiše složene objekte ili interpretira strukturirane korisne podatke iz nepouzdanih izvora je kandidat za ozbiljne greške ako je validacija nepotpuna. Kako sve više okvira usvaja obrasce slične RSC-u, recenzenti koda i sigurnosni revizori će se vjerovatno još više fokusirati na te granice.

Razmjer potencijalnog utjecaja je također istakao kako Ekosistemi otvorenog koda zavise od brzih i koordiniranih odgovora kada se pojave kritične greške. React, Next.js, pružatelji usluga u oblaku i sigurnosni dobavljači morali su se brzo uskladiti kako bi objavili zakrpe, dokumentaciju i alate za detekciju. Ta koordinacija može značajno skratiti vrijeme između otkrivanja i sanacije, smanjujući ukupnu štetu.

Istovremeno, incident naglašava kako lako zadane postavke mogu oblikovati rizik u stvarnom svijetuKada je neka moćna funkcija omogućena po zadanim postavkama i široko prihvaćena, svaka slabost u toj funkciji postaje sistemski problem gotovo preko noći. Budući dizajni okvira mogu staviti veći naglasak na ponašanja sigurna po zadanim postavkama, napredne funkcije s mogućnošću odabira ili jasnije sigurnosne kompromise.

Konačno, razvojni timovi će vjerovatno preispitati svoje modeliranje prijetnji za funkcije vođene serveromČak i u okruženjima koja su se ranije činila dobro zaštićenima, mogućnost da neautentificirani zahtjevi utiču na putanje renderiranja na strani servera će podstaći sigurnosne timove da dovedu u pitanje dugogodišnje pretpostavke i investiraju u robusnije testiranje.

Dok zajednica nastavlja da se suočava sa ovim ranjivostima, organizacije koje preduzimaju brza akcija Oni koji će krpati, pratiti i ponovo procjenjivati ​​korištenje RSC-a bit će u jačem položaju. Rješavanje problema CVE-2025-55182 i CVE-2025-66478 nije samo ispravljanje jedne greške; to je podsjetnik na to koliko su moderni web stekovi međusobno povezani i koliko je ključno pažljivo pratiti temelje na kojima se oslanjaju.