React Server Components opravuje 2 zranitelnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] React Server Components opravuje 2 zranitelnosti

React verzemi 19.0.3, 19.1.4 a 19.2.3 opravuje 2 zranitelnosti v React Server Components (balíčky react-server-dom-parcel, react-server-dom-turbopack a react-server-dom-webpack) [1] objevené při analýze opravy kritické zranitelnosti CVE-2025-55182 ze 3.12.2025 [2]. Postiženy jsou frameworky next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc a rwsdk [1]. Detailní informace ke zranitelnostem a opravám naleznete na [1].

React Server Components - DoS (CVE-2025-67779)

CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je zasláním speciálně vytvořených HTTP požadavků na jakýkoliv endpoint Server Functions umožněno vykonat útok DoS. Aplikace podporující React Server Components mohou být zranitelné, ačkoliv žádný endpoint React Server Function neimplementují [1][3]. Oprava původní CVE-2025-55184 [4] nebyla dostatečná [1].

Zranitelnost se nachází v produktech:

react-server-dom-webpack ve verzích (>=19.0.0 AND <=19.0.2) OR (>=19.1.0 AND <=19.1.3) OR (>=19.2.0 AND <=19.2.2)
react-server-dom-turbopack ve verzích (>=19.0.0 AND <=19.0.2) OR (>=19.1.0 AND <=19.1.3) OR (>=19.2.0 AND <=19.2.2)
react-server-dom-parcel ve verzích (>=19.0.0 AND <=19.0.2) OR (>=19.1.0 AND <=19.1.3) OR (>=19.2.0 AND <=19.2.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

CVE-2025-67779 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-502: Deserialization of Untrusted Data at cwe.mitre.org

Zranitelnost byla veřejně oznámena 11. 12. 2025.

React Server Components - source code exposure (CVE-2025-55183)

CVSS 5.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je zasláním speciálně vytvořeného HTTP požadavku umožněno za určitých podmínek získat zdrojový kód jakékoliv Server Function. To může vést k úniku citlivých údajů, pokud jsou definovány přímo v kódu (hardcoded secrets) [1].

Zranitelnost se nachází v produktech:

react-server-dom-webpack ve verzích (>=19.0.0 AND <=19.0.2) OR (>=19.1.0 AND <=19.1.3) OR (>=19.2.0 AND <=19.2.2)
react-server-dom-turbopack ve verzích (>=19.0.0 AND <=19.0.2) OR (>=19.1.0 AND <=19.1.3) OR (>=19.2.0 AND <=19.2.2)
react-server-dom-parcel ve verzích (>=19.0.0 AND <=19.0.2) OR (>=19.1.0 AND <=19.1.3) OR (>=19.2.0 AND <=19.2.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N