В технологии React Server Components (RSC) обнаружена критическая брешь безопасности максимальной степени тяжести. Уязвимость получила оценку 10.0 по шкале CVSS и классифицируется как проблема логической десериализации, связанная с небезопасной обработкой полезной нагрузки RSC. Данный дефект позволяет злоумышленникам осуществлять удаленное выполнение кода (RCE) без прохождения процедуры аутентификации, что ставит под угрозу серверную часть веб-приложений.
Механизм эксплуатации уязвимости заключается в отправке специально сформированного вредоносного HTTP-запроса к конечной точке Server Function. В процессе десериализации полученной полезной нагрузки React выполняет произвольный JavaScript-код на стороне сервера. Особую тревогу вызывает тот факт, что риск распространяется даже на приложения, которые не реализуют конечные точки React Server Function напрямую, но поддерживают технологию React Server Components.
Команда React выпустила официальное предупреждение, присвоив уязвимости идентификатор CVE-2025-55182. Проблема затрагивает широкий спектр версий библиотеки. В список пораженных релизов вошли версии 19.0, 19.1.0, 19.1.1, 19.2.0, 19.1.2, 19.2.1 и 19.2.0.1. Разработчикам, использующим указанные сборки, необходимо принять срочные меры по обновлению программного обеспечения для устранения возможности эксплуатации.
Отдельное внимание уделяется фреймворку Next.js, использующему App Router, где уязвимость получила отдельный идентификатор CVE-2025-66478 с аналогичным критическим рейтингом CVSS 10.0. Под угрозой находятся версии Next.js начиная с 14.3.0-canary.77 и выше, а также все релизы веток 15 и 16. Это делает значительную часть современных веб-приложений потенциально открытыми для атак.
Для устранения угрозы в экосистеме Next.js были выпущены исправленные версии. Разработчикам необходимо обновиться до версий 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 или 15.0.5. Своевременная установка этих патчей является единственным надежным способом защиты от удаленного выполнения кода через данный вектор атаки.
Проблема имеет масштабное влияние на всю экосистему веб-разработки, так как под угрозой находится любая библиотека, включающая в себя React Server Components. В частности, в зоне риска оказались Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodJS и Waku. Это подтверждает системный характер уязвимости, выходящий за пределы базовых библиотек React и Next.js.
Анализ, проведенный компанией Wiz, занимающейся облачной безопасностью, выявил тревожную статистику распространения проблемы. Согласно их данным, 39% облачных сред в настоящее время содержат экземпляры, уязвимые для CVE-2025-55182 или CVE-2025-66478. Столь высокий процент проникновения требует немедленной реакции со стороны системных администраторов и DevOps-инженеров.
Обнаружение уязвимости является заслугой исследователя безопасности из Новой Зеландии Лахлана Дэвидсона (Lachlan Davidson). Информация о критическом дефекте была передана ответственным лицам 29 ноября 2025 года. Исходя из анализа Wiz и серьезности потенциального ущерба, всем пользователям затронутых технологий рекомендуется применить исправления в кратчайшие сроки.
Изображение носит иллюстративный характер
Механизм эксплуатации уязвимости заключается в отправке специально сформированного вредоносного HTTP-запроса к конечной точке Server Function. В процессе десериализации полученной полезной нагрузки React выполняет произвольный JavaScript-код на стороне сервера. Особую тревогу вызывает тот факт, что риск распространяется даже на приложения, которые не реализуют конечные точки React Server Function напрямую, но поддерживают технологию React Server Components.
Команда React выпустила официальное предупреждение, присвоив уязвимости идентификатор CVE-2025-55182. Проблема затрагивает широкий спектр версий библиотеки. В список пораженных релизов вошли версии 19.0, 19.1.0, 19.1.1, 19.2.0, 19.1.2, 19.2.1 и 19.2.0.1. Разработчикам, использующим указанные сборки, необходимо принять срочные меры по обновлению программного обеспечения для устранения возможности эксплуатации.
Отдельное внимание уделяется фреймворку Next.js, использующему App Router, где уязвимость получила отдельный идентификатор CVE-2025-66478 с аналогичным критическим рейтингом CVSS 10.0. Под угрозой находятся версии Next.js начиная с 14.3.0-canary.77 и выше, а также все релизы веток 15 и 16. Это делает значительную часть современных веб-приложений потенциально открытыми для атак.
Для устранения угрозы в экосистеме Next.js были выпущены исправленные версии. Разработчикам необходимо обновиться до версий 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 или 15.0.5. Своевременная установка этих патчей является единственным надежным способом защиты от удаленного выполнения кода через данный вектор атаки.
Проблема имеет масштабное влияние на всю экосистему веб-разработки, так как под угрозой находится любая библиотека, включающая в себя React Server Components. В частности, в зоне риска оказались Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodJS и Waku. Это подтверждает системный характер уязвимости, выходящий за пределы базовых библиотек React и Next.js.
Анализ, проведенный компанией Wiz, занимающейся облачной безопасностью, выявил тревожную статистику распространения проблемы. Согласно их данным, 39% облачных сред в настоящее время содержат экземпляры, уязвимые для CVE-2025-55182 или CVE-2025-66478. Столь высокий процент проникновения требует немедленной реакции со стороны системных администраторов и DevOps-инженеров.
Обнаружение уязвимости является заслугой исследователя безопасности из Новой Зеландии Лахлана Дэвидсона (Lachlan Davidson). Информация о критическом дефекте была передана ответственным лицам 29 ноября 2025 года. Исходя из анализа Wiz и серьезности потенциального ущерба, всем пользователям затронутых технологий рекомендуется применить исправления в кратчайшие сроки.
