Vulnerabilități critice RSC în React și Next.js
Sursă: https://thehackernews.com
O vulnerabilitate de securitate cu grad de severitate maxim a fost identificată în React Server Components (RSC) care, dacă este exploatată cu succes, ar putea duce la executarea de cod de la distanță.
Vulnerabilitatea, identificată ca CVE-2025-55182, are un scor CvSS de 10/10 și a fost denumită React2shell.
Potrivit specialiștilor, vulnerabilitatea este o eroare de deserializare logică care provine din procesarea payload-urilor RSC într-un mod nesigur. Ca urmare, un atacator neautentificat ar putea crea o cerere HTTP rău intenționată către orice endpoint Server Function care, atunci când este deserializată de React, realizează executarea unui cod JavaScript arbitrar pe server.
Vulnerabilitatea afectează versiunile 19.0, 19.1.0, 19.1.1 și 19.2.0 ale următoarelor pachete npm:
- react-server-dom-webpack;
- react-server-dom-parcel;
- react-server-dom-turbopack.
Această vulnerabilitate a fost remediată în versiunile 19.0.1, 19.1.2 și 19.2.1.
De menționat că vulnerabilitatea afectează și Next.js care utilizează App Router. Acesteia i-a fost atribuit codul CVE-2025-66478 (scor CvSS: 10/10).
Aceasta afectează versiunile >=14.3.0-canary.77, >=15 și >=16. Versiunile patch-uite sunt 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 și 15.0.5.
Cu toate acestea, orice bibliotecă care include RSC este susceptibilă de a fi afectată de această vulnerabilitate. Aceasta include, dar nu se limitează la, plugin-ul Vite RSC, plugin-ul Parcel RSC, React Router RSC preview, RedwoodJS și Waku.
Un atacator are nevoie doar de acces la rețea pentru a trimite o cerere HTTP special creată către orice endpoint al funcției serverului. Vulnerabilitatea afectează configurațiile implicite ale framework-ului, ceea ce înseamnă implementările standard pot fi exploatate imediat, fără condiții speciale, au semnalat specialiștii.
Până când vor putea fi aplicate patch-urile, se recomandă implementarea regulilor Web Application Firewall (WAF), dacă sunt disponibile, monitorizarea traficului HTTP către endpoint-urile funcției serverului pentru orice solicitare suspectă sau malițioasă și luarea în considerare a restricționării temporare a accesului la rețea pentru aplicațiile afectate.
Sursă: https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html
