- CVE-2025-55182 a React i CVE-2025-66478 a Next.js permeten l'execució remota de codi no autenticada a través del protocol React Server Components Flight.
- La falla prové de la desserialització no segura de les càrregues útils RSC, deixant exposades les configuracions predeterminades de React i Next.js sense cap canvi de codi personalitzat.
- Els investigadors de seguretat informen d'una fiabilitat d'explotació propera al 100% i alerten que és probable que es produeixin atacs massius a mesura que s'analitzen els pegats.
- Les actualitzacions immediates a les versions reforçades de React i Next.js són l'única mitigació definitiva, especialment en entorns de núvol on fins a un 40% poden ser vulnerables.
La divulgació de CVE-2025-55182 a React i el seu problema bessó CVE-2025-66478 a Next.js ha posat de manifest la fragilitat de les piles de JavaScript del costat del servidor quan els protocols de baix nivell funcionen malament. En lloc de ser un error de nínxol, es tracta d'una fallada d'execució remota de codi de màxima gravetat que afecta el nucli dels components de React Server i el Protocol de vol moltes aplicacions modernes depenen silenciosament.
El que fa que aquest cas sigui particularment inquietant és que Les configuracions predeterminades estan exposadesUna aplicació Next.js senzilla generada amb create-next-app, creat per a la producció i implementat sense opcions inusuals, es pot veure compromès mitjançant una sol·licitud HTTP no autenticada. Sense configuracions errònies sofisticades, sense complements exòtics, només la pila estàndard que molts equips implementen cada dia.
Com es van descobrir els CVE-2025-55182 i CVE-2025-66478
L'arrel del problema rau en la Implementació de react-server que impulsa els components de React Server (RSC)Aquest paquet és la base del protocol Flight, que s'utilitza per transmetre dades de components serialitzats entre el client i el servidor. Quan l'investigador de seguretat Lachlan Davidson va informar d'un comportament sospitós a través del programa de recompenses d'errors de Meta a finals de novembre, cosa que va desencadenar una resposta ràpida dels equips de React i Meta.
Segons els avisos públics, la vulnerabilitat es va revelar un dimecres i els pegats d'emergència es van enviar en uns quatre diesAixò és un canvi de rumb inusualment ràpid per a un problema que afecta un ecosistema tan gran, i subratlla la gravetat de la falla: els mantenidors de React la van qualificar amb un Puntuació CVSS de 10.0, el màxim possible.
En paral · lel, Vercel — l'empresa darrere de Next.js — va analitzar com el mateix error subjacent va afectar el seu marc de treball. Com que Next.js utilitza el mateix protocol RSC Flight al servidor, va heretar la debilitat i se li va assignar el seu propi identificador. CVE-2025-66478Vercel va emetre una alerta i va publicar pegats el mateix dia que l'avís de React, amb l'objectiu de mantenir la finestra d'oportunitat per als atacants el més curta possible.
Malgrat la ràpida reacció, els proveïdors de seguretat i els investigadors van començar a advertir que els atacants probablement aplicarien enginyeria inversa a les correccions molt ràpidament, com es veu a Atacs a la cadena de subministrament contra NPMUn cop el codi modificat és públic, és molt més fàcil deduir on era l'error i crear exploits que funcionin.
Què està fallant exactament en el protocol React Flight?
A nivell tècnic, tant CVE-2025-55182 com CVE-2025-66478 es redueixen a deserialització no segura de dades controlades per l'atacant dins del protocol Flight. Els components del servidor React envien i reben càrregues útils estructurades, que el servidor descodifica i utilitza per impulsar el flux d'execució.
La lògica vulnerable en el react-server paquet no va poder validar estrictament l'estructura i el contingut de les càrregues útils RSC entrantsEn enviar una càrrega útil de Flight deliberadament mal formada, però curosament elaborada, a un punt final de funció de React Server, un atacant pot influir en el que fa el servidor quan deserialitza aquestes dades. En lloc de simplement reconstruir l'estat benigne del component, la ruta del codi es pot dirigir cap a l'execució. JavaScript privilegiat al servidor.
Com que l'error afecta la manera com es descodifica el protocol, no cal autenticacióUn atacant remot només necessita poder enviar sol·licituds HTTP a qualsevol punt final RSC o de funció de servidor accessible. Això converteix la vulnerabilitat en un vector RCE senzill i no autenticat: s'envia una sol·licitud manipulada, s'espera la desserialització no segura i la càrrega útil pot acabar executant-se al backend.
Investigadors de Wiz, que van analitzar el problema de manera independent, el descriuen com un vulnerabilitat de deserialització lògica en lloc d'un simple error d'anàlisi sintàctica. En les seves proves, una prova de concepte completament funcional va aconseguir fiabilitat propera al 100% en desencadenar l'execució de codi en objectius vulnerables.
Per què els desplegaments predeterminats de React i Next.js estan en risc
Un dels aspectes més preocupants d'aquestes CVE és que afecten les configuracions preconfiguradesPer a molts problemes de seguretat, l'explotació requereix un indicador de funció específic, un complement que s'utilitza rarament o un mode de desplegament no estàndard. Aquest no és el cas aquí.
Els components del servidor React i el seu protocol Flight s'han convertit en parts integrals de les arquitectures modernes de React 19 i Next.js. Com a resultat, una compilació de producció estàndard generada per create-next-app es pot explotar sense cap codi addicional del desenvolupador de l'aplicació. L'atacant no ha d'endevinar rutes personalitzades ni lògica de negoci; n'hi ha prou amb l'abús dels punts finals RSC genèrics.
La falla no es limita a Next.js en si. Qualsevol framework o eina que agrupa o reimplementa el protocol RSC Flight al servidor poden ser vulnerables. Els avisos públics i els informes de seguretat destaquen diversos ecosistemes afectats:
- Next.js, el marc més conegut afectat aigües avall
- Complement Vite RSC (
@vitejs/plugin-rsc) - Complement Parcel RSC (
@parcel/rsc) - Vista prèvia de React Router RSC
- SDK de Redwood (sovint esmentat com a
rwsdk) - El teu i altres cadenes d'eines habilitades per a RSC
En el mateix React, l'error afecta versions 19.0, 19.1.0, 19.1.1 i 19.2.0 dels paquets rellevants. Els mantenidors afirmen que actualització a 19.0.1, 19.1.2 o 19.2.1 proporciona un comportament reforçat i elimina la vulnerabilitat. Next.js té versions corregides corresponents que integren la lògica del servidor React modificada.
Alguns proveïdors d'infraestructures han aclarit els límits de l'impacte. Per exemple, Google ha declarat que Les imatges públiques del sistema operatiu per a Compute Engine no són vulnerables per defecte, ja que no distribueixen React o Next.js ja preparats; el risc sorgeix quan els usuaris implementen versions afectades d'aquests frameworks a sobre de les imatges base.
Quina és la mida del radi de l'explosió a través del núvol?
La magnitud del problema es fa evident quan s'observa l'ús generalitzat de React i Next.js en producció. React sustenta les interfícies d'usuari per a plataformes importants com ara Facebook, Instagram, Netflix, Airbnb, Shopify, Walmart, Asana i molts altresA més a més, innombrables aplicacions més petites i quadres de comandament interns es creen amb els mateixos components i marcs de treball.
Els equips d'intel·ligència d'amenaces de Wiz van analitzar la telemetria dels entorns al núvol i van descobrir que aproximadament el 39-40% de les implementacions al núvol contenen instàncies vulnerables de React o Next.js. Només per a Next.js, el marc de treball apareix aproximadament 69% dels entorns enquestats, i en aproximadament El 61% d'aquestes aplicacions públiques s'executen a sobre d'aixòQuan combineu aquests percentatges, vol dir que aproximadament El 44% de tots els entorns de núvol observats allotgen instàncies de Next.js exposades públicament., independentment de la versió exacta del marc de treball.
Aquesta superposició entre popularitat i vulnerabilitat és el que alarma els defensors. Quan una pila àmpliament desplegada té un error RCE no autenticat de màxima gravetat amb una ruta d'explotació fiable, Els atacs oportunistes i dirigits són gairebé garantitsFins i tot les organitzacions que s'adapten ràpidament poden tenir un període curt en què els punts finals exposats poden ser investigats i compromesos.
En el moment de les primeres revelacions, no s'havia informat públicament de cap explotació confirmada en estat salvatgeNo obstant això, diversos investigadors de seguretat, inclosos experts de Rapid7 i watchTowr, van emfatitzar que és realista suposar que els actors d'amenaces ja estan aplicant enginyeria inversa als pegats, buscant serveis sense pegats i construint cadenes d'atac automatitzades.
Què diuen els investigadors i els proveïdors sobre el risc d'explotació
Les declaracions de la comunitat de seguretat dibuixen una imatge consistent: aquest no és un problema teòric, i la barrera d'entrada per als atacants és baixa. Benjamin Harris, CEO de watchTowr, va descriure la falla com una un risc important per als usuaris d'un dels frameworks web més prevalents del món i va emfatitzar que l'explotació requereix «pocs requisits previs».
Els investigadors de Wiz van fer ressò d'aquesta avaluació després de provar versions vulnerables i amb pegats. Els seus experiments interns van mostrar que les càrregues útils dissenyades per explotar la deserialització insegura aconseguien un taxa d'èxit propera al 100% en desencadenar l'execució remota completa de codi als servidors afectats. També van assenyalar que l'atac és completament remot i no autenticat, impulsat completament per sol·licituds HTTP construïdes especialment.
Des de la perspectiva de Rapid7, l'expectativa és que Els informes tècnics i les proves de concepte apareixeran un cop prou gent hagi analitzat els pegats.Això, al seu torn, probablement impulsarà intents d'escaneig més amplis i d'explotació massiva, especialment en entorns de núvol amb moltes aplicacions connectades a Internet.
Fins i tot fora de la comunitat de proveïdors, Els mitjans de comunicació del sector han emmarcat aquestes situacions d'extinció cardiovascular com a factors que posen en risc una part important d'Internet.Els informes han destacat no només la gravetat bruta, sinó també el nombre de grans llocs de consum, plataformes SaaS i backends d'API que depenen de React i Next.js per als seus frontends i renderització del costat del servidor.
Passos de mitigació: què haurien de fer ara els usuaris de React i Next.js
Per als equips que executen React o Next.js en producció, les directrius dels mantenidors i investigadors convergeixen en un punt simple: L'actualització a les versions amb pegats és l'única solució definitivaNo hi ha cap interruptor de configuració ni regles WAF genèriques que puguin resoldre completament el comportament de deserialització insegur subjacent al protocol Flight.
L'equip de React recomana que qualsevol persona de les branques afectades es trasllada a les versions reforçades 19.0.1, 19.1.2 o 19.2.1, assegurant-se que el fitxer react-server El paquet s'inclou a l'actualització. Per a Next.js, Vercel ha publicat compilacions fixes que integren la gestió RSC modificadaEls administradors han de consultar l'avís oficial de Next.js per determinar la versió mínima segura per a la línia de llançament que han triat.
Organitzacions que depenen d'altres Marcs de treball habilitats per a RSC — com ara Redwood, Waku, la vista prèvia RSC de React Router o els complements RSC de Vite i Parcel — es recomana consulteu les notes de la versió i els canals de seguretat corresponentsEn molts casos, aquests projectes simplement empaqueten o agrupen els components del servidor de React, per la qual cosa cal actualitzar React i després obtenir la darrera revisió del framework.
Més enllà de la simple aplicació de pegats, s'utilitzen eines centrades en el núvol per a buscar instàncies vulnerables a escalaEls clients de Wiz, per exemple, poden accedir a les consultes i els avisos del Centre d'amenaces de Wiz per trobar on s'implementen les versions afectades de React o Next.js als seus entorns. Altres organitzacions utilitzen inventaris d'actius, dades de SBOM i escaneig de contenidors per aconseguir una visibilitat similar.
Si hi ha algun indici que els sistemes ja poden haver estat atacats o compromesos a través d'aquests CVE, Es recomana el suport a la resposta a incidentsAlguns proveïdors conviden específicament els clients que sospitin d'una explotació de CVE-2025-55182 o CVE-2025-66478 a contactar amb els seus equips d'infraccions per obtenir ajuda amb el triatge, la contenció i la forense.
Què revela això sobre l'ecosistema web de JavaScript
Tot i que els pegats React i Next.js tanquen el forat immediat, L'incident planteja preguntes més àmplies sobre com els marcs de treball de JavaScript del costat del servidor gestionen dades no fiablesEls protocols com Flight es troben a les profunditats de la pila, amagats darrere d'abstraccions que els desenvolupadors poques vegades inspeccionen directament, cosa que significa que els defectes poden tenir efectes de gran abast abans que es notin.
El fet que comportament vulnerable inclòs per defecte, configuracions molt promocionades també destaca la tensió entre l'experiència del desenvolupador i el disseny segur per defecte. Les característiques que faciliten la creació d'aplicacions modernes, com ara els components del servidor i la serialització perfecta entre client i servidor, poden introduir discretament superfícies d'atac complexes.
Per als equips de seguretat, aquest cas és un altre recordatori que Les vulnerabilitats a nivell de marc de treball poden convertir-se instantàniament en una exposició a tota l'organitzacióUn sol error en un component popular de codi obert pot aparèixer al cor de desenes d'aplicacions, microserveis i eines internes separades, especialment quan es reutilitzen contenidors i plantilles.
Pel costat positiu, la resposta dels mantenidors de React, Meta i Vercel demostra que la divulgació coordinada i el desenvolupament ràpid de pegats són possibles fins i tot en grans ecosistemesEls avisos clars, les correccions amb versions i la coordinació amb els proveïdors de seguretat han ajudat els defensors a prioritzar aquest problema enmig de moltes vulnerabilitats concurrents.
De cara al futur, molts observadors esperen que continuï l'escrutini de Lògica de serialització, desserialització i anàlisi de protocols en frameworks webSi els codis CVE-2025-55182 i CVE-2025-66478 impulsen proves més sistemàtiques i una validació més estricta per a components com Flight, és possible que sorgeixin alguns beneficis de seguretat a llarg termini d'un incident que d'altra manera fos greu.
De moment, els equips que executen piles React o Next.js estan en una cursa entre desplegament de pegats i automatització d'atacsAmb un RCE de màxima severitat que afecta les configuracions predeterminades, una àmplia presència al núvol i tècniques d'explotació d'alta fiabilitat ja demostrades en la investigació, mantenir aquests entorns segurs depèn de la rapidesa amb què les organitzacions poden identificar on estan exposats i traslladar-ho tot a les versions reforçades.
