[TLP:CLEAR] React Server Components opravuje kritickou zranitelnost
React verzemi 19.0.1, 19.1.2 a 19.2.1 opravuje kritickou, aktivně zneužívanou zranitelnost v React Server Components (balíčky react-server-dom-parcel, react-server-dom-turbopack a react-server-dom-webpack). Postiženy jsou frameworky next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc a rwsdk [1][2].
Neautentizovanému vzdálenému útočníkovi je zasláním speciálně vytvořeného HTTP požadavku umožněno spustit kód na serveru [1][2]. Zranitelnost je již aktivně zneužívána [3][4]. Aplikace podporující React Server Components mohou být zranitelné, i když neimplementují žádný endpoint React Server Function [2]. Detailní informace ke zranitelnosti a opravám naleznete na [2]. PoC jsou k dispozici na [5]
Zranitelnost se nachází v produktech:
- react-server-dom-webpack ve verzích (==19.0.0) OR (>=19.1.0 AND <=19.1.1) OR (==19.2.0)
- react-server-dom-turbopack ve verzích (==19.0.0) OR (>=19.1.0 AND <=19.1.1) OR (==19.2.0)
- react-server-dom-parcel ve verzích (==19.0.0) OR (>=19.1.0 AND <=19.1.1) OR (==19.2.0)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-55182 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 12. 2025.
Odkazy
- [1] https://www.cve.org/CVERecord?id=CVE-2025-55182
- [2] https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- [3] https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog
- [4] https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/
- [5] https://github.com/topics/cve-2025-55182
Za CESNET-CERTS Michaela Ručková dne 15. 12. 2025.
