- CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.js omogućavaju neautentificirano udaljeno izvršavanje koda putem protokola "Flight" komponenti React Servera.
- Greška nastaje zbog nesigurne deserijalizacije izrađenih RSC korisnih podataka i utiče na mnoge okvire u njihovoj zadanoj konfiguraciji.
- Istraživači su primijetili gotovo 100% pouzdanosti iskorištavanja i procjenjuju da otprilike 39-40% cloud okruženja koristi ranjive React/Next.js instance.
- Hitne nadogradnje na ojačane verzije Reacta i Next.jsa su jedino konačno ublažavanje, a dobavljači već isporučuju zakrpe i smjernice.
Tokom proteklih nekoliko dana, sigurnosni timovi širom svijeta su se borili da procijene dva novootkrivena grešaka u React ekosistemu: CVE-2025-55182 u React Server komponentama i CVE-2025-66478 u Next.jsOve mane otvaraju vrata potpunom udaljenom izvršavanju koda na serverima i izazvale su uzbunu jer se mogu pokrenuti bez autentifikacije i uz vrlo malo napora napadača.
Problem prodire u samu srž moderne JavaScript infrastrukture. React i Next.js pokreću sve, od malih sporednih projekata do platformi koje koriste velika preduzeća, a značajan dio cloud opterećenja oslanja se na njih. Istraživači upozoravaju... neposredna masovna eksploatacija i gotovo savršena pouzdanost eksploatacijeRazvojni i operativni timovi se pozivaju da postavljanje zakrpa stave na vrh svojih lista zadataka.
Šta su zapravo CVE-2025-55182 i CVE-2025-66478?
U srži problema leži Protokol "Flight" za React Server Components (RSC), mehanizam uveden za rukovanje tokovima renderiranja vođenim serverom. CVE-2025-55182 je identifikator dodijeljen ranjivosti u Reactovom react-server paket, dok CVE-2025-66478 pokriva odgovarajuću grešku u Next.js-u., koji ugrađuje i proširuje ovaj protokol.
Ranjivost je u suštini Greška logičke deserijalizacije u načinu na koji se obrađuju RSC korisni teretiKada server primi posebno izrađen, neispravan Flight payload, implementacija ne uspijeva temeljito validirati strukturu prije nego što djeluje na nju. Taj propust omogućava podacima koje kontrolira napadač da prođu na mjesta gdje mogu utjecati na izvršavanje na strani servera.
U praksi, to znači da napadač može poslati jednu kreirani HTTP zahtjev ka React Server funkciji ili RSC krajnjoj tačkiKada server deserializira taj korisni teret, može se prisiliti da izvršava proizvoljni JavaScript kod s privilegijama serverskog procesa, pretvarajući jednostavan zahtjev u potpuno udaljeno izvršavanje koda (RCE).
Sigurnosni timovi i dobavljači opisuju oba CVE-a kao da imaju maksimalni CVSS rezultat od 10.0, najviša moguća ocjena. To odražava kombinaciju udaljene dostupnosti, nedostatka zahtjeva za autentifikaciju i potencijala za potpuno kompromitovanje pogođenog okruženja.
Zašto su izložene zadane konfiguracije
Jedan detalj koji je izazvao posebnu zabrinutost je da ovi bugovi utiču standardne postavke bez neobične konfiguracijeTipična Next.js aplikacija generirana pomoću create-next-app, kompajliran za produkciju i implementiran sa podrazumijevanim opcijama može biti ranjiv odmah po instalaciji.
Isto važi i za mnoge druge RSC-omogućeni okviri i alati koji objedinjuju react-server izvršenjeBudući da su usvojili Flight protokol onako kako ga je React dizajnirao, naslijedili su nesigurno ponašanje deserijalizacije. Programeri ne moraju dodavati nikakve egzotične funkcije ili prilagođenu logiku parsiranja da bi se greška mogla iskoristiti.
Ova zadana izloženost povećava rizik da napadači mogu skenirajte internet za RSC ili krajnje tačke serverskih funkcija i brzo naiđu na održive mete. Nema potrebe za ukradenim akreditivima ili postojećim pristupom: ako su relevantne krajnje tačke dostupne s javnog interneta i koriste ranjive verzije, one se nalaze u opasnoj zoni.
Istraživači sigurnosti naglašavaju da čak i organizacije sa zrelim sigurnosnim programima mogu biti pogođene jer RSC se često implicitno omogućava putem ažuriranja okvira i predložaka., a neki timovi možda nisu ni svjesni da ga koriste u produkciji.
Obim uticaja na ekosisteme Reacta i Next.jsa
Višestruke analize svode se na istu zaključak: razmjer potencijalnog radijusa eksplozije je neuobičajeno velik. Podaci Wiz Researcha sugeriraju da je oko 39% do 40% cloud okruženja sadrži instance React ili Next.js ranjive na CVE-2025-55182 i/ili CVE-2025-66478To je značajan dio aplikacijskog sloja javnog interneta.
Problem nije ograničen samo na samostalne React instalacije. Next.js je, posebno, izuzetno rasprostranjen: pojavljuje se u gotovo 69% posmatranih okruženja u nekim skupovima podataka, a većina njih pokreće javno dostupne Next.js aplikacije. Ta kombinacija znači da značajan dio cloud okruženja izlaže ranjive krajnje tačke direktno nepouzdanom saobraćaju.
Što se tiče specifičnih komponenti, problem utiče React 19.0, 19.1.0, 19.1.1 i 19.2.0 serije koje uključuju nedostatke react-server implementacija. Što se tiče okvira, uključeno je i nekoliko popularnih alata koji integriraju RSC. Iako tačan utjecaj varira, lista tehnologija povezanih s ranjivim protokolom uključuje:
- Next.js
- Vite RSC dodatak (
@vitejs/plugin-rsc) - Dodatak za pakete RSC (
@parcel/rsc) - Pregled RSC-a za React Router
- RedwoodSDK
- Waku
Istraživači to naglašavaju bilo koji okvir ili biblioteka koja objedinjuje pogođeni sadržaj react-server izvršenje vjerovatno će biti u opsegu, čak i ako nije eksplicitno naveden u ranim savjetima. Organizacijama se savjetuje da naprave popis svoje upotrebe RSC-a u alatima za izgradnju, pregledima i pilot projektima, a ne samo u produkcijskim aplikacijama s velikim prometom.
Pružatelji usluga u oblaku također su počeli reagirati. Na primjer, jedan je dobavljač primijetio da Njegove podrazumijevane javne OS slike za virtuelne mašine se ne isporučuju sa ranjivim React komponentama omogućenim po podrazumevanim podešavanjima., iako to ne štiti radna opterećenja gdje korisnici sami instaliraju i konfigurišu React ili Next.js.
Kako eksploatacija funkcioniše i zašto je pouzdanost tako visoka
Iako dobavljači namjerno zadržavaju neke od detalja o eksploataciji niskog nivoa kako bi dali braniteljima vremena za ispravljanje zakrpa, opšti okvir je javan. Na visokom nivou, napadač treba samo kreirati HTTP zahtjev koji nosi specifičan neispravan RSC teret usmjeren na krajnju tačku servera koja parsira podatke React Flighta.
Budući da je ranjivi kodni put dio standardne logike deserijalizacije, žrtva ne mora kliknuti na bilo šta, prijaviti se ili izvršiti višekoračni radni tok. Sve dok napadač može doći do serverske funkcije ili RSC krajnje tačke, može pokušati... pokrenuti nesigurnu deserijalizaciju i usmjeriti izvršenje prema vlastitom korisnom opterećenju.
Tokom testiranja, sigurnosni timovi su izvijestili da je iskorištavanje pokazalo „visoka vjernost“, sa stopom uspjeha koja se približava 100% nakon što je konfiguracija mete shvaćena. Takva vrsta pouzdanosti je neuobičajena za udaljene iskorištavanja i povećava vjerovatnoću da napadači mogu automatizirati skeniranje i kompromitirati sistem u velikim razmjerima.
Stručnjaci također upozoravaju da Sada javno dostupne zakrpe i savjeti efektivno služe kao mapa puta za reverzni inženjeringČak i ako kod za iskorištavanje još nije široko objavljen, akteri prijetnji mogu proučiti razlike između ranjivih i ispravljenih verzija kako bi rekonstruirali logiku ranjivosti i iskoristili je kao oružje, slično kao i kod risgo a la. kadenu suministara npm-a.
Prema posljednjim izvještajima, nije bilo potvrđenih slučajeva široko rasprostranjenog iskorištavanja u divljini, ali više dobavljača sigurnosnih rješenja i istraživača očekuje da će se to brzo promijeniti. Napadači se utrkuju da iskoriste prednosti nezakrpljenih sistema prije nego što organizacije završe svoje napore sanacije.
Odgovori dobavljača i dostupne zakrpe
Otkriće CVE-2025-55182 pripisuje se istraživač sigurnosti Lachlan Davidson, koji je prijavio problem putem Metinog programa za nagrađivanje grešaka. Od početnog otkrivanja do objavljivanja zakrpa, rješavanje problema je bilo neuobičajeno brzo, što odražava ozbiljnost greške i njen doseg u web ekosistemu.
React tim je isporučio ojačane verzije pogođenih paketaZa osnovnu biblioteku, održavatelji ukazuju na ažuriranja kao što je React 19.0.1, 19.1.2 i 19.2.1 i ekvivalentne zakrpene varijante srodnih komponenti kao zatvaranje specifične rupe u deserijalizaciji u protokolu Flight.
Sa strane okvira, Vercel, koji održava Next.js, dodijelio je CVE-2025-66478 na utjecaj iste RSC greške na niže nivoe i objavio ažurirane verzije Next.js-a koje uključuju ispravljeno ponašanje React Server komponenti. Njihovo sigurnosno upozorenje objašnjava da ranjivost proizlazi iz načina na koji React dekodira korisne terete usmjerene za Krajnje tačke serverskih funkcija i da zakrpa pooštrava te rutine dekodiranja.
Drugi frameworkovi i autori dodataka koji se oslanjaju na RSC - poput održavatelja dodataka Redwood, Waku i RSC za Vite i Parcel - počeli su izdavati vlastite smjernice i ažuriranja verzija usklađena sa zakrpama react-server kodKorisnici se upućuju da slijede najave specifične za projekat i upute za nadogradnju.
Nekoliko pružatelja usluga komercijalne sigurnosti također je odgovorilo. Na primjer Wiz je objavio unaprijed pripremljen upit i savjet. u svom Centru za prijetnje kako bi kupci mogli otkriti ranjive instance u svojim okruženjima, dok drugi dobavljači tvrde da određeni zaštitni zidovi web aplikacija mogu blokirati neke pokušaje iskorištavanja ako se React promet ispravno usmjerava kroz njih. Ipak, održavateljima je jasno da podešavanja konfiguracije ili WAF pravila nisu zamjena za pravilno ažuriranje zakrpa.
Procjena rizika: ko bi trebao biti najviše zabrinut?
Kratki odgovor je taj bilo koja organizacija koja koristi React 19 ili RSC-zavisne frameworkove u produkciji Trebali bi ovo shvatiti ozbiljno, ali neki obrasci implementacije se ističu kao posebno izloženi. Na primjer, javno dostupne Next.js aplikacije predstavljaju primamljivu metu jer se često nalaze direktno na internetu i imaju RSC funkcije omogućene po defaultu.
Organizacije koje intenzivno koriste Serverske funkcije, rutiranje vođeno serverom, pregledi ili eksperimentalne funkcije zasnovane na RSC-u su posebno izloženi riziku. U ovim postavkama, korisni tereti leta će se vjerovatnije često obrađivati, što protivnicima daje mnogo prilika za testiranje korisnih tereta i usavršavanje iskorištavanja.
Dijeljena ili višestanarska okruženja izazivaju dodatne zabrinutosti. Ako ranjiva React usluga radi sa širokim pristupom internim resursima, Uspješna RCE mogla bi postati prekretnica za lateralno kretanje dublje u mrežu ili preko granica korisnika.
Analitičari također ističu da širina usvajanja Reacta - od strane kompanija kao što su Meta, Netflix, Airbnb, Shopify, Walmart i mnoge druge—znači da utjecaj na stvarni svijet nije ograničen isključivo na proračune tehničkih rizika. Kompromis u glavnom aplikacijskom steku može imati domino efekte na korisnike, partnere i nizvodne ekosisteme.
Konačno, čak i timovi koji vjeruju da se ne oslanjaju u velikoj mjeri na RSC trebali bi provjeriti tu pretpostavku. Jer Alati i standardni nacrti mogu tiho omogućiti RSC funkcije, neki projekti mogu biti izloženiji nego što njihovi održavatelji na prvi pogled shvataju.
Praktični koraci za ublažavanje za korisnike Reacta i Next.jsa
U svim savjetima, jedna tačka se dosljedno ponavlja: Nadogradnja na zakrpljene verzije je jedino definitivno rješenjeNe postoji zastavica konfiguracije ili manja izmjena koja u potpunosti neutralizira osnovno nesigurno ponašanje deserijalizacije bez ažuriranja pogođenih paketa.
Za organizacije koje direktno koriste React, održavatelji preporučuju prelazak na ojačana izdanja—kao što su 19.0.1, 19.1.2, 19.2.1 ili novija—zajedno s ažuriranim react-server i povezani RSC paketiTimovi bi trebali konsultovati službeno sigurnosno upozorenje za React kako bi potvrdili tačne verzije koje adresiraju CVE-2025-55182 u svom stablu zavisnosti.
Next.js projekti bi trebali slično Nadogradite na zakrpljene verzije okvira koje uključuju ispravku za CVE-2025-66478Budući da je dovoljna standardna Next.js verzija da bi bila pogođena, čak i male web stranice i interne kontrolne ploče zaslužuju pažnju, ne samo vodeće aplikacije.
Za okruženja koja koriste druge RSC-kompatibilne okvire - kao što su Redwood, Waku ili RSC dodaci za pakete poput Vite i Parcel - savjet je da pažljivo pratite najave dobavljača i implementirajte sva ažuriranja koja uključuju ojačanu react-server izvršenje čim budu dostupni. Gdje je to moguće, treba koristiti okruženja za testiranje kako bi se validiralo ponašanje aplikacije prije uvođenja ispravki u produkciju i primijeniti praktički kao što je to moguće. gestión segura de secretos en GitHub Actions.
Paralelno sa instaliranjem zakrpa, sigurnosni timovi mogu skeniranje ranjivih verzija i izloženih krajnjih tačakaAlati proizvođača poput Wiza mogu pomoći u identifikaciji mjesta gdje se izvršavaju ranjive instance Reacta ili Next.jsa, dok skeneri web sigurnosti i inventar resursa mogu mapirati koje su usluge dostupne s interneta, a ne ograničene na interne mreže.
Na šta bi branioci trebali obratiti pažnju u bliskoj budućnosti
Otkriće CVE-2025-55182 i CVE-2025-66478 ilustruje poznati obrazac: kritična greška u široko korištenoj komponenti se pojavljuje, zakrpe se brzo pojavljuju, a zatim počinje utrka između branitelja i napadača. U ovom slučaju, kombinacija... CVSS rezultat 10.0, neautentificirani RCE i izloženost po defaultu čini tu trku posebno intenzivnom.
Istraživači sigurnosti predviđaju da će sljedeća faza uključivati brzi reverzni inženjering zakrpa od strane aktera prijetnji. Čak i bez objavljivanja detaljnog koda za provjeru koncepta, poređenje starih i novih verzija pruža dovoljno tragova vještim napadačima da rekonstruišu ranjivu logiku.
Organizacije bi trebale očekivati porast skeniranje krajnjih tačaka Reacta i Next.jsa, kao i detaljniji HTTP zahtjevi usmjereni na URL-ove serverskih funkcija i RSC-a. Sistemi za evidentiranje i praćenje mogu igrati ulogu ovdje: anomalni ili neispravno oblikovani korisni tereti leta, neočekivane greške tokom deserijalizacije i skokovi u zahtjevima prema određenim krajnjim tačkama mogu biti rani pokazatelji pokušaja iskorištavanja, i alati za testiranje kao što su Saradnik Burp-a pueden ayudar a reproducir vectores.
Neki branitelji se također vraćaju dubinske kontrole odbrane oko njihovih React implementacija. To može uključivati usmjeravanje prometa kroz zaštitne zidove web aplikacija, pooštravanje mrežne izloženosti internih servisa i provođenje strožih konfiguracija s najmanjim privilegijama za dozvole za izvođenje aplikacija kako kompromis ne bi automatski odobravao široki pristup.
Timovima za reagovanje na incidente se savjetuje da pripremite se za potencijalne istrage koje uključuju ova CVETo može uključivati ažuriranje priručnika, osiguravanje da se relevantni logovi čuvaju dovoljno dugo da se analizira sumnjivo ponašanje i uspostavljanje kontakata s pružateljima usluga ili sigurnosnim prodavačima koji mogu pomoći ako se posumnja na kompromitiranje.
Poruka istraživača, dobavljača i pružatelja usluga u oblaku je ujednačena: iako još nije javno potvrđena široko rasprostranjena eksploatacija, tehnički uvjeti čine ovo atraktivnom metom, i Čekanje na zakrpu značajno povećava prozor rizika.
S obzirom na kritične greške u izvršavanju udaljenog koda poput CVE-2025-55182 u Reactu i CVE-2025-66478 u Next.js-u, praktična poruka je jednostavna: pretpostaviti da će ranjive RSC krajnje tačke biti ispitane, dati prioritet nadogradnjama na ojačane verzije i koristiti dostupne alate za lociranje i zaštitu izloženih instanciZa web stek koji se uveliko oslanja na React i okolne okvire, pravovremena sanacija sada će se vjerovatno isplatiti u manjem broju hitnih slučajeva kasnije.
