Глобальная угроза безопасности в RSC-компонентах React и Next.js: критическая уязвимость открывает путь для удалённого исполнения кода
Дата: 03.12.2025Просмотров: 1392
Глобальная угроза безопасности в RSC-компонентах React и Next.js: критическая уязвимость открывает путь для удалённого исполнения кода
Разработчики столкнулись с серьёзной уязвимостью в компонентах сервера React (RSC), которая представляет собой значительную угрозу информационной безопасности. Проблема получила название CVE-2025-55182, получив максимальную оценку опасности по шкале CVSS – 10 баллов.
Согласно сообщению команды React, данная уязвимость способна позволить любому неавторизованному лицу выполнить код на стороне сервера, используя специально сформированные полезные данные, передаваемые на конечную точку функций сервера React. Это означает, что даже если ваш проект не включает реализацию точек входа для серверных функций React, он всё равно может оказаться уязвимым, если используется поддержка компонентов сервера React.
Компания Wiz, занимающаяся исследованиями в области облачной безопасности, сообщила, что проблема вызвана некорректной обработкой данных при десериализации входящих запросов, обрабатываемых компонентами RSC. В результате злоумышленнику достаточно отправить вредоносный HTTP-запрос к серверной функции, который позволит выполнить произвольный JavaScript-код непосредственно на сервере без какой-либо аутентификации.
Какие пакеты затронуты?
Проблема затрагивает следующие версии пакета npm:
• react-server-dom-webpack,
• react-server-dom-parcel,
• react-server-dom-turbopack.
Конкретно уязвимы версии:
-19.0.x,
-19.1.0,
-19.1.1,
-19.2.0.
Ошибка была исправлена в последующих выпусках:
-19.0.1,
-19.1.2,
-19.2.1.
Обнаруживший проблему специалист по безопасности из Новой Зеландии, Лаклан Дэвидсон, передал информацию о баге команде React ещё 29 ноября 2025 года.
Кроме того, аналогичная ошибка существует и в платформе Next.js, особенно в её роутере App Router. Для неё выделили отдельный идентификатор уязвимости — CVE-2025-66478. Оценка угрозы снова максимальная — 10 баллов по CVSS. Этот баг присутствует начиная с версии 14.3.0-canary.77 и распространяется на последующие мажорные релизы вплоть до текущих версий 16.x.
Исправление доступно в новых релизах Next.js:
-16.0.7,
-15.5.7,
-15.4.8,
-15.3.6,
-15.2.6,
-15.1.9,
-15.0.5.
Помимо указанных проектов, аналогичные риски существуют и для других инструментов, поддерживающих использование RSC-компонентов, таких как:
• плагин Vite RSC,
• плагин Parcel RSC,
• ранняя версия React Router RSC,
• RedwoodJS,
• Waku.
Исследования показывают, что примерно 39% всех облаков и веб-приложений, работающих на серверах, подвержены угрозе из-за этих двух ошибок (CVE-2025-55182 и CVE-2025-66478).
Учитывая масштабы и возможные последствия, специалисты настоятельно рекомендуют оперативно обновить используемые зависимости до защищённых версий и убедиться, что система не доступна для подобного вида атак.
Заключение
Для минимизации риска компрометации вашего сайта или приложения убедитесь, что используете самые свежие стабильные версии зависимых библиотек и своевременно применяйте доступные патчи безопасности.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Яндекс Директ представил улучшенный конструктор лендингов для продвижения бизнеса
Яндекс Директ представил улучшенный конструктор лендингов для продвижения бизнеса
Компания Яндекс представила значительные обновления своего бесплатного конструктора лендингов, позволяя бизнесу эффективнее привлекать клиентов и тестировать гипотезы онлайн-маркетинга. Обновления включают дополнительные инструменты и опции, упрощающие процесс создания целевых страниц и управления ими.
Стартует новая эпоха мобильности: как Steam сможет покорить рынок смартфонов и планшетов
Стартует новая эпоха мобильности: как Steam сможет покорить рынок смартфонов и планшетов
Steam готовится совершить революционный прорыв в мире мобильных игровых платформ благодаря технологии эмуляции Fex, способной перенести полноценные компьютерные игры формата Windows x86 на устройства с процессорами ARM. Несмотря на то, что многие обратили внимание на анонсируемые Steam Machines и виртуальные шлемы, именно эта технология способна изменить всю экосистему гейм-девелопмента и вывести игровой опыт на совершенно новый уровень.
ChatGPT не начнёт показывать рекламу своим пользователям, заявляет OpenAI
ChatGPT не начнёт показывать рекламу своим пользователям, заявляет OpenAI
Недавно появившиеся элементы интерфейса, похожие на рекламные объявления, оказались обычными рекомендациями приложений без оплаты. Тестирование новой функции App SDK от OpenAI вызвало бурные дискуссии, когда некоторые пользователи ChatGPT приняли предложенные приложения за платную рекламу. Хотя ситуация вскоре разъяснилась, случай поднимает вопрос о том, собирается ли компания, работающая в убыток с момента своего основания, в конечном итоге начать показ рекламы, особенно для бесплатных пользователей.