Команда React (React Team) официально объявила о выпуске исправлений для новых уязвимостей, обнаруженных в React Server Components (RSC). Данные проблемы безопасности создают риски отказа в обслуживании (Denial-of-Service, DoS) и потенциального раскрытия исходного кода. Выявление этих багов произошло в контексте анализа обновлений безопасности, выпущенных для предыдущей критической ошибки, что привлекло пристальное внимание сообщества к кодовой базе.
Исследования начались после обнаружения критической уязвимости CVE-2025-55182, получившей максимальную оценку CVSS 10.0. Данная проблема уже используется злоумышленниками в реальных атаках (weaponized in the wild), что делает ситуацию чрезвычайно острой. Именно в процессе тщательного изучения исправлений для CVE-2025-55182 исследователи безопасности выявили новые векторы атак, связанные с компонентами сервера.
Первая обнаруженная уязвимость получила идентификатор CVE-2025-55184 и оценку CVSS 7.5. Это проблема типа DoS, эксплуатируемая без предварительной аутентификации. Механизм атаки заключается в небезопасной десериализации полезной нагрузки из HTTP-запросов, отправляемых на эндпоинты Server Function. В результате процесс сервера входит в бесконечный цикл и зависает, прекращая обработку входящих запросов. Уязвимости подвержены версии 0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1.
Связанная с ней уязвимость CVE-2025-67779, также оцененная в 7.5 баллов по шкале CVSS, возникла из-за неполного исправления предыдущей ошибки (CVE-2025-55184). Она приводит к аналогичному отказу в обслуживании. Под угрозой находятся версии React, в которых была предпринята первая попытка патча: 19.0.2, 19.1.3 и 19.2.2.
Третья проблема, получившая идентификатор CVE-2025-55183 с оценкой CVSS 5.3, классифицируется как утечка информации. Специально сформированный HTTP-запрос к уязвимой Server Function позволяет злоумышленнику получить исходный код любой серверной функции. Для успешной эксплуатации необходимо, чтобы серверная функция явно или неявно раскрывала аргумент, который был преобразован в строковый формат. Список уязвимых версий совпадает с первой DoS-уязвимостью: от 0.0 до версий линейки 19.x (19.0.1, 19.1.0–19.1.2, 19.2.0–19.2.1).
В связи с активной эксплуатацией родительской уязвимости CVE-2025-55182, обновление требуется выполнить немедленно. Безопасными и полностью пропатченными версиями, устраняющими все перечисленные угрозы, являются 19.0.3, 19.1.4 и 19.2.3. Разработчикам настоятельно рекомендуется проверить текущие сборки и перейти на указанные релизы.
Обнаружение данных проблем стало возможным благодаря работе исследователей RyotaK и Shinsaku Nomura, которые сообщили о двух ошибках типа DoS, а также Andrew MacPherson, выявившего возможность утечки информации. Координация процесса раскрытия уязвимостей проходила через программу М⃰ Bug Bounty.
Представители React прокомментировали ситуацию, отметив важность глубокого анализа кода: «Когда раскрывается критическая уязвимость, исследователи тщательно изучают смежные пути кода в поисках вариантов методов эксплуатации, чтобы проверить, можно ли обойти первоначальные меры защиты. Эта модель проявляется во всей индустрии, не только в JavaScript. Дополнительные раскрытия могут расстраивать, но, как правило, они являются признаком здорового цикла реагирования».
Изображение носит иллюстративный характер
Исследования начались после обнаружения критической уязвимости CVE-2025-55182, получившей максимальную оценку CVSS 10.0. Данная проблема уже используется злоумышленниками в реальных атаках (weaponized in the wild), что делает ситуацию чрезвычайно острой. Именно в процессе тщательного изучения исправлений для CVE-2025-55182 исследователи безопасности выявили новые векторы атак, связанные с компонентами сервера.
Первая обнаруженная уязвимость получила идентификатор CVE-2025-55184 и оценку CVSS 7.5. Это проблема типа DoS, эксплуатируемая без предварительной аутентификации. Механизм атаки заключается в небезопасной десериализации полезной нагрузки из HTTP-запросов, отправляемых на эндпоинты Server Function. В результате процесс сервера входит в бесконечный цикл и зависает, прекращая обработку входящих запросов. Уязвимости подвержены версии 0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1.
Связанная с ней уязвимость CVE-2025-67779, также оцененная в 7.5 баллов по шкале CVSS, возникла из-за неполного исправления предыдущей ошибки (CVE-2025-55184). Она приводит к аналогичному отказу в обслуживании. Под угрозой находятся версии React, в которых была предпринята первая попытка патча: 19.0.2, 19.1.3 и 19.2.2.
Третья проблема, получившая идентификатор CVE-2025-55183 с оценкой CVSS 5.3, классифицируется как утечка информации. Специально сформированный HTTP-запрос к уязвимой Server Function позволяет злоумышленнику получить исходный код любой серверной функции. Для успешной эксплуатации необходимо, чтобы серверная функция явно или неявно раскрывала аргумент, который был преобразован в строковый формат. Список уязвимых версий совпадает с первой DoS-уязвимостью: от 0.0 до версий линейки 19.x (19.0.1, 19.1.0–19.1.2, 19.2.0–19.2.1).
В связи с активной эксплуатацией родительской уязвимости CVE-2025-55182, обновление требуется выполнить немедленно. Безопасными и полностью пропатченными версиями, устраняющими все перечисленные угрозы, являются 19.0.3, 19.1.4 и 19.2.3. Разработчикам настоятельно рекомендуется проверить текущие сборки и перейти на указанные релизы.
Обнаружение данных проблем стало возможным благодаря работе исследователей RyotaK и Shinsaku Nomura, которые сообщили о двух ошибках типа DoS, а также Andrew MacPherson, выявившего возможность утечки информации. Координация процесса раскрытия уязвимостей проходила через программу М⃰ Bug Bounty.
Представители React прокомментировали ситуацию, отметив важность глубокого анализа кода: «Когда раскрывается критическая уязвимость, исследователи тщательно изучают смежные пути кода в поисках вариантов методов эксплуатации, чтобы проверить, можно ли обойти первоначальные меры защиты. Эта модель проявляется во всей индустрии, не только в JavaScript. Дополнительные раскрытия могут расстраивать, но, как правило, они являются признаком здорового цикла реагирования».
