Открита е критична уязвимост в React, една от най-популярните JavaScript библиотеки за уеб разработка, която позволява на атакуващи да изпълняват произволен код на сървъра без никаква авторизация.

Уязвимостта засяга React Server Components (RSC) – компоненти, които се изпълняват на сървъра и предават рендерирания резултат към клиентите. Проблемът е оценен с 10/10 по CVSS, което го прави критичен.

Дори приложения, които не използват React Server Function endpoints, могат да бъдат уязвими, ако поддържат React Server Components.

Технически детайли

Бъгът, идентифициран като CVE-2025-55182, присъства в следните версии на три пакета:

• react-server-dom-parcel (19.0, фиксирана версия 19.0.1)

• react-server-dom-turbopack (19.1.0 и 19.1.1, фиксирана версия 19.1.2)

• react-server-dom-webpack (19.2.0, фиксирана версия 19.2.1)

Механизъм на експлоатация: Уязвимият код несигурно десериализира HTTP заявки към Server Function endpoints, позволявайки на атакуващия да изпълнява JavaScript код с привилегии на сървъра. Експлоатацията е отдалечена, не изисква автентикация и има почти 100% успеваемост при тестване.

Засегнати системи и рамки

Уязвимостта засяга и множество други React рамки и инструменти, включително:

• Next.js

• react-router

• waku

• @parcel/rsc, @vitejs/plugin-rsc

• rwsdk и други

Според изследване на Wiz, 39% от облачните среди съдържат уязвими React и Next.js инстанции, като 44% имат публично достъпни Next.js приложения.

Препоръки и мерки

React Team и Meta препоръчват незабавна актуализация на React и всички засегнати зависимости до фиксираните версии.

• Хостинг доставчици са внедрили временни защити, но те не гарантират сигурност, ако версиите не бъдат обновени.

• RSC-активирани рамки и приложения трябва да бъдат актуализирани веднага.

Това е най-опасният сценарий за уязвимости, свързани с React Server Components, като милиони сайтове по света са потенциално изложени на риск от отдалечено изпълнение на код.