- Kritična greška CVE-2025-55182 u React Server Components omogućava neautentificirano udaljeno izvršavanje koda putem nesigurne deserijalizacije.
- Problem se kaskadno širi nizvodno do Next.js-a kao CVE-2025-66478, pri čemu su obje ranjivosti ocijenjene kao maksimalne ozbiljnosti (CVSS 10).
- Zadane konfiguracije su otkrivene, a istraživači izvještavaju o gotovo 100% pouzdanosti iskorištavanja u mnogim stvarnim okruženjima.
- Prodavci su objavili smjernice i zakrpe, a organizacije koje koriste React ili Next.js trebale bi odmah ažurirati i pregledati svoje implementacije.
Otkrivanje CVE-2025-55182 u komponentama React Servera i njegov utjecaj na Next.js je brzo postala jedna od najdiskutovanijih sigurnosnih priča u svijetu web razvoja. Ovaj propust otkriva kritičan put za napadače da postignu udaljeno izvršavanje koda na serverima koji se oslanjaju na ove izuzetno popularne tehnologije.
Za timove koji su prihvatili moderni React i Next.js paket, ovo nije apstraktna akademska greška. Istraživači sigurnosti upozoravaju da je iskorištavanje i realistično i vrlo pouzdanoi da zadane konfiguracije ostavljaju mnoga produkcijska raspoređivanja neočekivano otvorenim za napade ako se brzo ne zakrpe.
„React2Shell“: Kritična ranjivost koja potresa web — i zašto je važna
Ranjivost u središtu ove situacije, javno praćeno kao CVE-2025-55182, utiče na protokol koji stoji iza React Server Components (RSC). Istraživači su putanju iskorištavanja nazvali "React2Shell" kako bi naglasili da uspješan napad može preći sa kreiranog RSC zahtjeva na potpuni pristup na nivou shell-a na osnovnom serveru.
Na visokom nivou, greška se pojavljuje zbog nesigurna deserijalizacija korisnih tereta dostavljenih krajnjim tačkama React Server FunctionKada serverska komponenta obrađuje ove posebno izrađene korisne podatke, napadač može preći sa naizgled benignog rukovanja podacima na proizvoljno izvršavanje koda bez potrebe za autentifikacijom.
Iako se korijen problema nalazi u implementaciji otvorenog koda Reacta, njegov utjecaj tu ne prestaje. Next.js, koji se temelji na Reactu i široko se koristi za aplikacije produkcijskog nivoa, nasljeđuje problem u rukovanju logikom na strani servera. Taj nizvodni rizik je zasebno katalogiziran kao CVE-2025-66478, efektivno proširujući radijus eksplozije na velikom dijelu modernog web steka.
I CVE-2025-55182 i njegov pandan Next.js su bili dodijeljen maksimalni rezultat ozbiljnosti od 10 prema zajedničkom sistemu bodovanja ranjivosti. Ova ocjena odražava kombinaciju mogućnosti udaljenog iskorištavanja, nedostatka zahtjeva za autentifikaciju i potencijala za potpuno kompromitovanje sistema.
Šta je React2Shell – i kako funkcioniše?
U suštini, React Server komponente se oslanjaju na protokol gdje klijent i server razmjenjuju serijalizirane korisne podatke za obradu renderiranja i logike na strani servera. Suština React2Shell-a je u tome što Ovi korisni tereti mogu se manipulirati na način koji pokreće nesigurnu deserijalizaciju, što efektivno omogućava da se unos koji kontrolira napadač interpretira kao izvršne instrukcije na serveru.
U tipičnom scenariju napada, protivnik kreira zlonamjerni paket koji cilja na Krajnja tačka React Server Functiona otkrivena od strane aplikacijeBudući da se ranjivost može aktivirati bez autentifikacije, napadaču je potreban samo mrežni pristup krajnjoj tački da bi pokušao iskoristiti ranjivost.
Nakon što se zlonamjerni sadržaj obradi, server ga može deserializirati na nesiguran način, efektivno brišući granicu između podataka i koda. Ovo otvara vrata za udaljeno izvršavanje koda, što napadaču omogućava izvršavanje proizvoljnih naredbi s dozvolama serverskog procesa.
Prema nalazima koje su javno podijelili istraživači iz Wiza, put do iskorištavanja nije samo teoretski. Tokom internih eksperimenata, prijavili su "visoko pouzdanu" eksploataciju sa stopom uspjeha blizu 100%. u okruženjima koja su testirali. Taj nivo pouzdanosti dramatično smanjuje barijeru za napadače i povećava hitnost za branioce, kao što je ilustrovano u nedavnim slučajevima. ataques a la cadena de suministro de npm.
Ono što ovo čini posebno zabrinjavajućim za praktičare je to što Ranjivo ponašanje je prisutno u zadanim konfiguracijamaDrugim riječima, programeri nisu nužno morali odabrati nesigurne postavke; mnoge aplikacije su izložene jednostavno zato što koriste standardni, preporučeni stek.
Obim i uticaj: Zašto je toliko projekata u opasnosti
Tehnologije koje su u to uključene čine ovo posebno raširenim problemom. React, rođen na Facebooku, a sada održavan kao biblioteka otvorenog koda, podupire ogroman dio modernih web interfejsa. zbog svog modela i ekosistema zasnovanog na komponentama. Next.js, koji održava Vercel, postao je glavni framework za izgradnju React aplikacija spremnih za produkciju sa renderiranjem na strani servera i API rutama.
Zbog ove popularnosti, broj pogođenih implementacija nije trivijalan. Istraživači Wiza procijenili su da oko 40% cloud okruženja koja su ispitali sadrži ranjive instance Reacta ili Next.jsa.Taj snimak sugerira da greška nije granični slučaj, već opća zabrinutost u širokom spektru organizacija i industrija.
Praktične posljedice uspješnog iskorištavanja mogu biti ozbiljne. Nakon što napadači dobiju pristup daljinskom izvršavanju koda putem CVE-2025-55182 ili povezane ranjivosti Next.js, potencijalno mogu pristupiti osjetljivim podacima, kretati se bočno unutar okruženja, postavljati skrivena vrata ili koristiti kompromitovane servere kao polazne tačke za daljnje napade.
Benjamin Harris, osnivač i izvršni direktor tvrtke watchTowr, naglasio je da, iako su javni tehnički detalji još uvijek relativno ograničeni, Objavljivanje zakrpa je dovoljno da usmjeri odlučne napadačeKada počnu pregledavati promjene koda i savjetodavne napomene, postaje znatno lakše reproducirati putanju iskorištavanja i iskoristiti je kao oružje u praksi.
Ta dinamika - objavljivanje zakrpa prije široko rasprostranjenog saniranja - često stvara utrku. Organizacije sada efikasno konkurišu akterima prijetnji implementirati ispravke i korake za ublažavanje prije nego što se pokušaji iskorištavanja povećaju.
Zašto je React2Shell posebno opasan
Brojni faktori zajedno izdvajaju ovu ranjivost iz uobičajenog toka sigurnosnih savjeta. Prvo, Nedostatak zahtjeva za autentifikaciju znači da anonimni napadači mogu direktno ciljati izložene krajnje tačkeBilo koja javno dostupna krajnja tačka serverske komponente odmah postaje dio površine napada.
Drugo, način na koji se greška manifestuje u stvarnim uslovima dovodi do izuzetno visoka pouzdanost eksploatacijeKao što je Wiz izvijestio, pod tipičnim konfiguracijama, put iskorištavanja je gotovo svaki put funkcionirao u njihovim scenarijima dokazivanja koncepta, smanjujući potrebu za složenim ili krhkim lancima napada.
Treće, problem pogađa samu srž načina na koji React Server Components i Next.js obrađuju logiku na strani servera. Zato što je greška vezana za sam RSC protokol, a ne samo za karakteristiku uske ivice, mnoge aplikacije nasljeđuju rizik jednostavnim praćenjem standardnih obrazaca koje promovira službena dokumentacija.
Konačno, širi kontekst ekosistema je važan. React i Next.js su duboko ugrađeni u cloud-native i mikroservisne arhitekture. koji pokreću sve, od malih startupa do velikih preduzeća. Jedna kompromitovana serverska komponenta mogla bi pružiti ulaznu tačku u mnogo veće i složenije okruženje.
Zajedno, ova svojstva objašnjavaju zašto su obje ranjivosti ocijenjene na maksimalnom nivou ozbiljnosti i zašto sigurnosna zajednica snažno ohrabruje brzo krpljenje i proaktivna procjena rizika umjesto pristupa "čekajmo i vidimo".
Šta se već radi (i šta biste trebali uraditi odmah)
Nakon što je problem prijavljen putem programa Meta Bug Bounty — Istraživač Lachlan Davidson je obavijestio React tim 29. novembra — održavatelji su se pozabavili istraživanjem, ispravljanjem i koordinacijom otkrivanja. Projekt React i Vercel, kompanija koja stoji iza Next.js-a, sada su objavili smjernice koje će pomoći korisnicima da ažuriraju svoj softver.
Sa strane prodavca, Zakrpe za izdanja i savjetodavne napomene opisuju koje su verzije pogođene i kako izvršiti nadogradnjuOrganizacije koje koriste React Server Components ili Next.js trebaju pažljivo pregledati ove dokumente, identificirati koja su implementacije obuhvaćena i zakazati ažuriranja kao glavni prioritet.
S obzirom na to da su zadane konfiguracije ranjive, rizično je pretpostaviti da će "prilagođene postavke" ili minimalna upotreba ponuditi zaštitu. Sigurnosni timovi trebaju napraviti popis svih aplikacija koje se oslanjaju na React Server Components ili Next.js, obraćajući posebnu pažnju na javno dostupne krajnje tačke izložene internetu.
Iako je nanošenje zakrpa primarni korak, razumno je razmotriti i kratkoročna ublažavanja. Ograničavanje nepotrebnog javnog izlaganja krajnjih tačaka serverskih komponenti, pooštravanje kontrola pristupa mreži gdje je to moguće i poboljšanje praćenja sumnjivih obrazaca zahtjeva mogu smanjiti rizik dok se ažuriranja uvode, además de revisar la gestión segura de secretos en GitHub Actions.
Organizacije bi također mogle željeti blisko sarađivati sa svojim razvojnim timovima kako bi pregledajte evidenciju, planove za odgovor na incidente i sve znakove neuobičajene aktivnosti oko React ili Next.js servisa, uključujući i korištenje Burp saradnika para detectar interacciones fuera de banda.
Šta ovo znači za web ekosistem — i na šta treba paziti
Pojava CVE-2025-55182 i njegovog pandanta Next.js pokreće šira pitanja o... kako se brzo razvijajući web okviri upravljaju sigurnošću u složenim funkcijama na strani serveraKomponente React Servera, iako moćne, uvode nove komunikacijske obrasce i logiku serijalizacije koji zahtijevaju rigoroznu kontrolu.
Za širi ekosistem, ovaj incident je podsjetnik da čak i zrele, široko prihvaćene tehnologije mogu sadržavati Ranjivosti visokog utjecaja ukorijenjene u suptilnim detaljima implementacijeKombinacija optimizacija performansi, praktičnosti za programere i fleksibilnih API-ja ponekad može prikriti duboke sigurnosne pretpostavke dok ih istraživači ne testiraju na stres.
U budućnosti je vjerovatno da će i React i Next.js zajednice vidjeti povećan fokus na sigurno rukovanje serverskim funkcijama, serijalizaciju korisnog tereta i zadane konfiguracijeOrganizacije koje vode računa o sigurnosti mogu se također zalagati za jasnije smjernice, eksplicitnije opcije osiguranja i proširenu dokumentaciju o sigurnim praksama prilikom izgradnje sa serverskim komponentama.
U međuvremenu, branioci bi trebali pažljivo pratiti ažuriranja sa službenih kanala projekta, dobavljača sigurnosnih rješenja i istraživača koji nastavljaju analizirati ranjivost. Novi dokazi koncepta, pravila detekcije i preporuke najbolje prakse vjerovatno će se pojaviti kako se sve više stručnjaka bude bavilo detaljima React2Shell-a i njegovih varijanti.
Konačno, ova epizoda naglašava da Održavanje sigurnosti modernih web stekova je kontinuirani proces, a ne jednokratni zadatak postavljanja. Kako se okviri razvijaju, tako se razvijaju i njihove potencijalne površine za napad, a organizacije koje se brzo prilagođavaju obično bolje prolaze kada se otkriju kritični nedostaci.
Za svaki tim koji se oslanja na React ili Next.js u produkciji, CVE-2025-55182 služi kao jasan signal: tretirati funkcije na strani servera s istom sigurnosnom strogošću kao i bilo koju drugu kritičnu infrastrukturu, pratite uzvodne savjete i budite spremni brzo reagovati kada se pojave problemi s ovim nivoom udara.
Ovaj izvještaj se oslanja na informacije koje su prvobitno objavili mediji usmjereni na kibernetičku sigurnost i savjeti dobavljača, ističući kako React2Shell je brzo prešao iz privatne prijave u hitni prioritet za organizacije širom weba.
