- CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.js omogućavaju neautentificirano udaljeno izvršavanje koda putem protokola React Server Components Flight.
- Problem nastaje zbog nesigurne deserijalizacije izrađenih RSC korisnih tereta, što utiče na zadane konfiguracije u popularnim okvirima.
- Istraživači izvještavaju o gotovo 100% pouzdanosti iskorištavanja i procjenjuju da oko 39-40% cloud okruženja uključuje ranjive instance.
- Hitne nadogradnje na ojačane verzije Reacta i Next.jsa su jedino konačno ublažavanje; branioci bi također trebali provjeriti svaki RSC-omogućen framework.
Tokom proteklih nekoliko dana, JavaScript ekosistem se borio sa parom sigurnosne ranjivosti maksimalne ozbiljnosti u Reactu i Next.js-u koji otvaraju vrata udaljenom izvršavanju koda na pogođenim serverima. Nedostaci, označeni kao CVE-2025-55182 za React i CVE-2025-66478 za Next.js, fokus je na tome kako React Server komponente obrađuju specijalizirani mrežni promet u takozvanom Flight protokolu.
Jer ovi problemi utiču zadane konfiguracije okvira i mogu se pokrenuti samo kreiranim HTTP zahtjevom, brzo su se popeli na vrh lista zakrpa mnogih sigurnosnih timova. Prodavci, istraživači i pružatelji usluga u oblaku sada su usklađeni oko iste poruke: odmah instalirajte zakrpu, procijenite izloženost i pripremite se za široke pokušaje skeniranja i iskorištavanja.
Šta su zapravo CVE-2025-55182 i CVE-2025-66478?
U srži problema leži nedostatak u paket react-server, komponenta koja pokreće React Server Components (RSC) i Flight protokol. U ranjivim verzijama, server prihvata specijalno oblikovane RSC korisne terete i deserializira ih bez adekvatne validacije, što omogućava podacima koje kontrolira napadač da ometaju logiku koja se izvršava na serveru.
Ovo ponašanje pretvara ono što bi trebali biti strukturirani podaci u sredstvo za izvršavanje privilegovanog JavaScripta na pozadini. Kada HTTP zahtjev cilja RSC ili Server Function krajnju tačku sa zlonamjernim Flight korisnim teretom, nesigurna putanja deserijalizacije može se zloupotrijebiti za postizanje neautentificiranog udaljenog izvršavanja koda (RCE). Nije potreban prethodni pristup, akreditivi ili interakcija korisnika.
React strana problema se prati kao CVE-2025-55182, ocijenjen na vrhu skale sa CVSS ocjenom 10.0. Budući da Next.js implementira RSC i Flight protokol preko ovih primitiva, nasljeđuje istu osnovnu slabost; taj nizvodni utjecaj je dodijeljen CVE-2025-66478 i nosi istu ocjenu ozbiljnosti.
Sigurnosni savjeti opisuju grešku kao ranjivost logičke deserijalizacije a ne klasičan problem sigurnosti memorije. Problem je u načinu na koji se korisni tereti parsiraju i pouzdani, a ne u rukovanju niskonivojskim baferom. Ipak, ishod je jednako ozbiljan: udaljeni napadač može upravljati izvršavanjem na strani servera.
Koje su React i Next.js postavke ranjive
Uticaji ranjivosti Serverski stek u Reactu 19 u nekoliko često korištenih verzija. Održavatelji su izdanja poput 19.0, 19.1.0, 19.1.1 i 19.2.0 označili kao ranjiva za react-server paket i njegova implementacija Flight protokola. Zakrpane grane se distribuiraju kao 19.0.1, 19.1.2 i 19.2.1, koji uvode ojačanu logiku deserijalizacije.
Sa strane okvira, Next.js je pogođen odmah po instalacijiTipična aplikacija generirana sa create-next-app, izgrađen za produkciju i implementiran sa zadanim postavkama, može se iskoristiti bez dodatnog koda koji bi dodao programer. Vercel, kompanija koja stoji iza Next.js-a, stoga je izdala vlastito upozorenje pod CVE-2025-66478 i objavila ažurirane verzije okvira koje koriste ispravljene React pakete.
Uticaj nije ograničen samo na Next.js. Bilo koja komponenta ekosistema koja u paketu ili se uključuje u React Server komponente i protokol Flight je vjerovatno izložen. To uključuje, između ostalog, alate i okvire kao što su:
- Next.js
- @vitejs/plugin-rsc (Vite RSC dodatak)
- @parcel/rsc (Parcel RSC dodatak)
- Pregled RSC-a za React Router
- RedwoodSDK / rwsdk
- Waku
Istraživački timovi su naglasili da Zadane konfiguracije su uglavnom u opasnostiDrugim riječima, čak i ako programer nije namjerno omogućio eksperimentalne zastavice ili neobične postavke, njihovo raspoređivanje i dalje može biti iskorištavajuće ako koristi pogođenu verziju React Server komponenti.
Koliko je lako iskorištavati i zašto su branitelji zabrinuti
Ono što je uznemirilo sigurnosnu zajednicu je niska prepreka za eksploatacijuViše istraživačkih grupa izvještava da napad na ove propuste zahtijeva samo slanje posebno kreiranog HTTP zahtjeva dostupnoj RSC ili serverskoj funkcijskoj krajnjoj tački. Nema potrebe za autentifikacijom, složenim preduvjetima ili interakcijom korisnika, što ovaj scenario čini posebno atraktivnim za automatizirane napade.
U kontroliranom testiranju, timovi poput Wiz Researcha su izgradili funkcionalne propuste za dokaz koncepta i primijetili gotovo 100% pouzdanost u pokretanju RCE-a na ranjivim postavkama. Iako ovi puni korisni sadržaji još nisu objavljeni, konsenzus je da je osnovno ponašanje dovoljno jednostavno da drugi mogu rekonstruirati radne exploite proučavanjem javnih zakrpa.
S obzirom na popularnost Reacta i Next.jsa, nekoliko stručnjaka vjeruje da Masovno skeniranje i naoružanje su samo pitanje vremenaPostoje rana poređenja s drugim serverskim propustima visokog utjecaja, gdje je iskorištavanje poraslo nakon što su tehnički detalji i primjeri koda kružili u podzemnim zajednicama ili javnim repozitorijima.
Istraživači također ističu širina potencijalnih ciljevaReact je osnova web stranica i aplikacija u velikim organizacijama na društvenim mrežama, u e-trgovini, streamingu, SaaS-u i još mnogo toga. Okviri poput Next.js-a se široko koriste i za interne i za aplikacije usmjerene prema korisnicima, što znači da se ranjive instance mogu pojaviti duboko unutar korporativnih mreža, kao i na javno dostupnim frontend stranicama.
U vrijeme kada su mnogi savjeti objavljeni, bilo je Nema potvrđenih izvještaja o eksploataciji u divljiniMeđutim, analitičari kažu da je razumno pretpostaviti da akteri prijetnji već vrše reverzni inženjering ispravki i mapiraju koji su hostovi dostupni i pogrešno konfigurirani.
Koliko je izloženost raširena u cloud okruženjima
Nekoliko podataka iz skeniranja u oblaku ilustruje razmjere problema. Lovci na prijetnje u Wizu izvještavaju da oko 39% cloud okruženja Analizirani podaci sadrže instance Reacta ili Next.jsa koji pokreću verzije ranjive na CVE-2025-55182 i/ili CVE-2025-66478. Druge analize približavaju brojku 40% kada se obje tehnologije računaju zajedno.
Ako se konkretno pogleda Next.js, sam okvir se pojavljuje otprilike u 69% okruženja u svom skupu podataka. Od njih, značajna većina domaćina javno dostupne aplikacije izgrađeno na Next.js. Drugim riječima, njihova telemetrija sugerira da otprilike 44% svih cloud okruženja imati barem jednu instancu Next.js biblioteke izloženu internetu, bez obzira na to da li je trenutno ažurirana.
Ova kombinacija visoka gustoća raspoređivanja i izloženost javnosti je upravo ono što napadači traže kada biraju u koje ranjivosti će uložiti trud. Jedan lanac iskorištavanja može se ponovo koristiti u velikom obimu protiv mnogih meta sa sličnim postavkama, a automatizirani alati mogu pretražiti cijele IP raspone kako bi pronašli servere bez zakrpa.
Neki pružatelji usluga rade na sužavanju radijusa eksplozije. Na primjer, Google je naznačio da zadane javne slike operativnog sistema korištene na Google Cloudovom Compute Engine-u nisu ranjive odmah po instalaciji, iako korisnici i dalje moraju revidirati i ažurirati sve aplikacije koje implementiraju preko tih slika.
Prodavci koji nude Zaštitni zidovi web aplikacija (WAF) također se uključuju u diskusiju. Cloudflare je, na primjer, sugerirao da njihov WAF može pomoći u zaštiti nekih React aplikacija od pokušaja iskorištavanja kada se promet u potpunosti usmjerava kroz uslugu, iako je takve zaštite najbolje promatrati kao dodatni sloj, a ne kao zamjenu za ažuriranje osnovnog softvera.
Vremenski okvir, otkrivanje i odgovor dobavljača
Niz događaja oko CVE-2025-55182 i CVE-2025-66478 se brzo odvijao. Istraživač sigurnosti Lachlan Davidson identificirali su problem u načinu na koji React dekodira korisne terete usmjerene prema krajnjim tačkama React Server Functiona i prijavili ga putem Metinog programa za nagrađivanje grešaka krajem novembra.
React, prvobitno razvijen u Meti, a sada kamen temeljac mnogih modernih web platforma, brzo se proširio nakon što je izvještaj potvrđen. U roku od otprilike četiri danaReact tim je, u koordinaciji s Meta-om, izdao hitna ažuriranja za pogođene 19.x linije, zajedno sa sigurnosnim savjetovanjem u kojem se poziva na hitne nadogradnje.
Istog dana, Vercel je objavio vlastito savjetovanje za Next.js pod CVE-2025-66478. Održavatelji okvira objavili su zakrpe, smjernice za korisnike i detalje o tome kako implementacija RSC-a u Next.js-u nasljeđuje ranjivo ponašanje iz React-ovih serverskih biblioteka.
Mnogi javni članci su namjerno izostaviti detaljne detalje o iskorištavanju korak po korak za sada. Umjesto toga, fokusiraju se na objašnjavanje rizika, navođenje pogođenih komponenti i verzija i usmjeravanje korisnika na ažurirane verzije. Cilj je dati braniteljima vremena za implementaciju ispravki, a istovremeno usporiti manje sofisticirane napadače.
Glasovi iz industrije, uključujući istraživače u kompanijama poput watchTowr i Rapid7, ponovili su poruku da je ovo Problem visokog prioriteta za svakoga ko koristi React ili Next.js u produkciji, i da bi prozor prije javnog iskorištavanja površine mogao biti kratak.
Šta timovi trebaju uraditi upravo sada
Za organizacije koje koriste React Server Components, Next.js ili bilo koji od RSC-omogućenih dodataka i okvira, najjasnije smjernice su da Nadogradnja na ojačane verzije je jedino potpuno ublažavanjeNe postoji prekidač za konfiguraciju koji sigurno neutralizira grešku, a istovremeno ostaje na ranjivim izdanjima.
Sa strane Reacta, to znači prelazak sa pogođenih 19.x verzija kao što su 19.0, 19.1.0, 19.1.1 i 19.2.0 na 19.0.1, 19.1.2 ili 19.2.1, ovisno o tome na koju granu je projekat pričvršćen. Ove verzije uključuju strože provjere oko korisnih podataka Flight protokola i zatvaraju nesigurno ponašanje deserijalizacije.
Za korisnike Next.js-a, preporuka je da ažuriranje za zakrpene verzije okvira najavljeno u Vercelovom savjetodavnom uputstvu, osiguravajući da stablo zavisnosti povlači fiksne React server pakete. Čak i projekti koji eksplicitno ne koriste RSC u svom kodu mogu i dalje biti izloženi ako okvir omogućava serverske komponente "under haube".
Timovi koji se oslanjaju na druge RSC-omogućene stekove - uključujući Redwood, Waku, pregled React Router RSC-a i RSC dodatke za Vite i Parcel - trebali bi prati službene kanale iz tih projekata. Mnogi od njih objedinjuju vlastite kopije React server runtime okruženja, tako da njihovi održavatelji objavljuju specifične upute za ažuriranje i brojeve verzija koje treba tražiti.
Za organizacije s velikim utjecajem na oblak može biti teško znati gdje se nalaze svi ranjivi dijelovi. Neki dobavljači sigurnosnih rješenja, kao što je Wiz, nude unaprijed pripremljeni upiti i savjeti unutar svojih platformi kako bi pomogli korisnicima da identifikuju pogođene instance Reacta i Next.jsa u različitim okruženjima. Drugi omogućavaju logiku detekcije i pravila skeniranja internim sigurnosnim timovima da ih prilagode.
Šta ovo znači za širi web ekosistem
Pojava CVE-2025-55182 i CVE-2025-66478 podstiče širu diskusiju o tome kako Serverski JavaScript okviri obrađuju složene formate serijalizacijeRSC i Flight protokol su moćni alati za izgradnju modernih aplikacija, ali ista fleksibilnost koja omogućava napredne funkcije može također uvesti suptilne površine za napad ako logika parsiranja nije pažljivo zaključana.
Za developere, ova epizoda je podsjetnik da Oslanjanje na zadano ponašanje okvira ne garantuje sigurnost i važnost zaštite od Napadi na lanac snabdijevanja protiv NPM-aU ovom slučaju, obične, standardne postavke bile su dovoljne da izlože aplikaciju neautentificiranom RCE-u. Praćenje sigurnosnih savjeta, označavanje zavisnosti i brza primjena ažuriranja postaju neizostavan zadatak za timove koji isporučuju usluge zasnovane na Reactu ili Next.js-u.
Sa defanzivnog stanovišta, organizacije koriste ovaj događaj da preispitaju svoje strategije slojevite zaštiteZakrpe su u prvom planu, ali mnogi također razmatraju pooštravanje kontrola pristupa administrativnim ili internim krajnjim tačkama, primjenu WAF pravila za uočavanje sumnjivog prometa Flight protokola i poboljšanje uočljivosti oko grešaka na strani servera koje bi mogle ukazivati na pokušaje iskorištavanja.
Situacija također naglašava koliko interneta sada ovisi o relativno malom skupu dijeljene komponente otvorenog kodaJedna greška u široko prihvaćenoj biblioteci može se proširiti kroz cloud provajdere, SaaS platforme i poslovna okruženja za samo nekoliko dana. Koordinirano otkrivanje, brz odgovor dobavljača i jasna komunikacija postaju ključni kada je toliko organizacija pogođeno odjednom.
Za sada je fokus na tome da se ranjive instalacije Reacta i Next.jsa prebace na fiksna izdanja prije... eksploatacija postaje rutinaS obzirom na to da istraživači izvještavaju o gotovo savršenoj pouzdanosti iskorištavanja, ranjivosti zadanih konfiguracija i značajnom dijelu cloud okruženja koja koriste pogođene verzije, ovi CVE-ovi su brzo prešli iz nejasnih detalja protokola u hitan operativni problem za timove koji održavaju moderne JavaScript aplikacije.
