Критическая уязвимость в RSC React и Next.js позволяет исполнять код дистанционно
Разработчики столкнулись с серьёзной уязвимостью в компонентах сервера React (RSC), которая представляет собой значительную угрозу информационной безопасности. Проблема получила название CVE-2025-55182, получив максимальную оценку опасности по шкале CVSS – 10 баллов.
Согласно сообщению команды React, данная уязвимость способна позволить любому неавторизованному лицу выполнить код на стороне сервера, используя специально сформированные полезные данные, передаваемые на конечную точку функций сервера React. Это означает, что даже если ваш проект не включает реализацию точек входа для серверных функций React, он всё равно может оказаться уязвимым, если используется поддержка компонентов сервера React.
Компания Wiz, занимающаяся исследованиями в области облачной безопасности, сообщила, что проблема вызвана некорректной обработкой данных при десериализации входящих запросов, обрабатываемых компонентами RSC. В результате злоумышленнику достаточно отправить вредоносный HTTP-запрос к серверной функции, который позволит выполнить произвольный JavaScript-код непосредственно на сервере без какой-либо аутентификации.
Какие пакеты затронуты?
Проблема затрагивает следующие версии пакета npm:
• react-server-dom-webpack,
• react-server-dom-parcel,
• react-server-dom-turbopack.
Конкретно уязвимы версии:
-19.0.x,
-19.1.0,
-19.1.1,
-19.2.0.
Ошибка была исправлена в последующих выпусках:
-19.0.1,
-19.1.2,
-19.2.1.
Обнаруживший проблему специалист по безопасности из Новой Зеландии, Лаклан Дэвидсон, передал информацию о баге команде React ещё 29 ноября 2025 года.
Кроме того, аналогичная ошибка существует и в платформе Next.js, особенно в её роутере App Router. Для неё выделили отдельный идентификатор уязвимости — CVE-2025-66478. Оценка угрозы снова максимальная — 10 баллов по CVSS. Этот баг присутствует начиная с версии 14.3.0-canary.77 и распространяется на последующие мажорные релизы вплоть до текущих версий 16.x.
Исправление доступно в новых релизах Next.js:
-16.0.7,
-15.5.7,
-15.4.8,
-15.3.6,
-15.2.6,
-15.1.9,
-15.0.5.
Помимо указанных проектов, аналогичные риски существуют и для других инструментов, поддерживающих использование RSC-компонентов, таких как:
• плагин Vite RSC,
• плагин Parcel RSC,
• ранняя версия React Router RSC,
• RedwoodJS,
• Waku.
Исследования показывают, что примерно 39% всех облаков и веб-приложений, работающих на серверах, подвержены угрозе из-за этих двух ошибок (CVE-2025-55182 и CVE-2025-66478).
Учитывая масштабы и возможные последствия, специалисты настоятельно рекомендуют оперативно обновить используемые зависимости до защищённых версий и убедиться, что система не доступна для подобного вида атак.
Заключение
Для минимизации риска компрометации вашего сайта или приложения убедитесь, что используете самые свежие стабильные версии зависимых библиотек и своевременно применяйте доступные патчи безопасности.
