- El CVE-2025-55182 a React i el CVE-2025-66478 a Next.js permeten l'execució remota de codi no autenticada a través del protocol "Flight" dels components del servidor React.
- L'error sorgeix de la desserialització no segura de càrregues útils RSC creades i afecta molts frameworks en la seva configuració predeterminada.
- Els investigadors van observar una fiabilitat d'explotació de gairebé el 100% i estimen que aproximadament el 39-40% dels entorns de núvol executen instàncies vulnerables de React/Next.js.
- Les actualitzacions immediates a les versions reforçades de React i Next.js són l'única mitigació definitiva, i els proveïdors ja envien pegats i instruccions.
Durant els darrers dies, els equips de seguretat de tot el món s'han esforçat per avaluar un parell d'errors recentment revelats a l'ecosistema React: CVE-2025-55182 als components de React Server i CVE-2025-66478 a Next.jsAquests defectes obren la porta a l'execució remota completa de codi en servidors i han aixecat l'alarma perquè es poden activar sense autenticació i amb molt poc esforç per part d'un atacant.
El problema afecta directament el nucli de la infraestructura moderna de JavaScript. React i Next.js impulsen tot, des de petits projectes secundaris fins a plataformes utilitzades per grans empreses, i una part important de les càrregues de treball al núvol depenen d'ells. Els investigadors adverteixen de explotació massiva imminent i fiabilitat d'explotació gairebé perfecta, s'insta els equips de desenvolupament i operacions a traslladar l'aplicació de pegats al capdamunt de les seves llistes de tasques.
Què són realment CVE-2025-55182 i CVE-2025-66478
Al cor del problema rau el Protocol de "vol" dels components del servidor React (RSC), un mecanisme introduït per gestionar els fluxos de renderització impulsats pel servidor. CVE-2025-55182 és l'identificador assignat a la vulnerabilitat al propi React react-server paquet, mentre CVE-2025-66478 cobreix la falla corresponent a Next.js, que integra i estén aquest protocol.
La vulnerabilitat és essencialment una error de deserialització lògica en la manera com es processen les càrregues útils RSCQuan un servidor rep una càrrega útil de Flight especialment dissenyada i mal formada, la implementació no valida a fons l'estructura abans d'actuar-hi. Aquest descuit permet que les dades controlades per l'atacant es colin en llocs on poden influir en l'execució del costat del servidor.
En termes pràctics, això significa que un atacant pot enviar un únic sol·licitud HTTP elaborada a una funció de React Server o a un punt final RSCQuan el servidor deserialitza aquesta càrrega útil, es pot forçar a executar codi JavaScript arbitrari amb els privilegis del procés del servidor, convertint una simple sol·licitud en una execució remota de codi (RCE) completa.
Els equips de seguretat i els proveïdors descriuen ambdós CVE com a posseïdors d'una puntuació màxima de CVSS de 10.0, la qualificació més alta possible. Això reflecteix la combinació d'accessibilitat remota, manca de requisits d'autenticació i el potencial de compromís complet de l'entorn afectat.
Per què s'exposen les configuracions predeterminades
Un detall que ha suscitat especial preocupació és que aquests errors afecten configuracions estàndard sense configuracions inusualsUna aplicació típica de Next.js generada amb create-next-app, compilat per a producció i implementat amb opcions predeterminades pot ser vulnerable directament.
El mateix passa amb molts altres Marcs i eines habilitats per a RSC que agrupen react-server implementacióCom que van adoptar el protocol Flight tal com el va dissenyar React, van heretar el comportament de deserialització insegur. Els desenvolupadors no necessiten afegir cap característica exòtica ni lògica d'anàlisi personalitzada perquè la falla sigui explotable.
Aquesta exposició per defecte augmenta el risc que els atacants puguin escaneja Internet per trobar punts finals RSC o de funció de servidor i ensopegar ràpidament amb objectius viables. No calen credencials robades ni accés preexistent: si els punts finals rellevants són accessibles des de la Internet pública i executen versions vulnerables, es troben a la zona de perill.
Els investigadors de seguretat emfatitzen que fins i tot les organitzacions amb programes de seguretat madurs poden veure's afectades perquè L'RSC sovint s'habilita implícitament mitjançant actualitzacions i plantilles del marc de treball., i alguns equips poden no adonar-se que l'estan utilitzant en producció.
Àmbit d'impacte en els ecosistemes React i Next.js
Múltiples anàlisis convergeixen en la mateixa conclusió: l'escala del radi potencial de l'explosió és inusualment gran. Les dades de Wiz Research suggereixen que al voltant de Entre el 39% i el 40% dels entorns de núvol contenen instàncies de React o Next.js vulnerables a CVE-2025-55182 i/o CVE-2025-66478.Això és una part important de la capa d'aplicacions de l'Internet públic.
El problema no es limita a les instal·lacions autònomes de React. Next.js, en particular, està extremadament estèsapareix en prop del 69% dels entorns observats en alguns conjunts de dades, i la majoria d'aquests executen aplicacions Next.js orientades al públic. Aquesta combinació significa que una fracció substancial dels establiments al núvol exposen els punts finals vulnerables directament a trànsit no fiable.
Pel que fa als components específics, el problema afecta React 19.0, 19.1.0, 19.1.1 i 19.2.0 sèries que inclouen els defectes react-server implementació. Pel que fa al marc de treball, també hi estan implicades diverses eines populars que integren RSC. Tot i que l'impacte exacte varia, la llista de tecnologies associades amb el protocol vulnerable inclou:
- Next.js
- Complement Vite RSC (
@vitejs/plugin-rsc) - Complement Parcel RSC (
@parcel/rsc) - Vista prèvia de React Router RSC
- SDK de Redwood
- El teu
Els investigadors ho subratllen qualsevol marc de treball o biblioteca que agrupi els elements afectats react-server implementació és probable que estigui dins de l'abast, fins i tot si no s'enumera explícitament als primers avisos. Es recomana a les organitzacions que facin un inventari del seu ús d'RSC a través d'eines de compilació, versions prèvies i projectes pilot, no només a les aplicacions de producció d'alt trànsit.
Els proveïdors de núvol també han començat a reaccionar. Per exemple, un proveïdor va assenyalar que les seves imatges de sistema operatiu públic per defecte per a màquines virtuals no s'envien amb components vulnerables de React habilitats per defecte, tot i que això no protegeix les càrregues de treball on els clients instal·len i configuren React o Next.js ells mateixos.
Com funciona l'explotació i per què la fiabilitat és tan alta
Tot i que els proveïdors oculten deliberadament alguns dels detalls de l'explotació de baix nivell per donar temps als defensors per aplicar pedaços, l'esquema general és públic. A un nivell alt, un atacant només necessita crear una sol·licitud HTTP que porti una càrrega útil RSC específica amb format incorrecte dirigit a un punt final de servidor que analitza les dades de React Flight.
Com que la ruta de codi vulnerable forma part de la lògica de desserialització estàndard, no cal que la víctima faci clic en res, iniciï sessió o realitzi un flux de treball de diversos passos. Sempre que l'atacant pugui arribar a un punt final de funció de servidor o RSC, pot intentar... desencadenar la desserialització insegura i dirigir l'execució cap a la seva pròpia càrrega útil.
En les proves, els equips de seguretat van informar que l'explotació va mostrar «alta fidelitat», amb taxes d'èxit properes al 100% un cop s'ha entès la configuració de l'objectiu. Aquest tipus de fiabilitat és poc freqüent en exploits remots i augmenta les probabilitats que els atacants puguin automatitzar l'escaneig i comprometre'ls a gran escala.
Els experts també alerten que Els pegats i avisos ara públics serveixen eficaçment com a full de ruta per a l'enginyeria inversaFins i tot si el codi d'explotació encara no s'ha publicat àmpliament, els actors d'amenaces poden estudiar les diferències entre les versions vulnerables i les corregides per reconstruir la lògica vulnerable i convertir-la en una arma, un risc similar a la cadena de subministrament de npm.
Segons els darrers informes, no hi havia casos confirmats d'explotació generalitzada en estat salvatge, però diversos proveïdors de seguretat i investigadors esperen que això canviï ràpidament a mesura que Els atacants corren per aprofitar-se dels sistemes sense pegats abans que les organitzacions completin els seus esforços de remediació.
Respostes dels proveïdors i pegats disponibles
El descobriment de CVE-2025-55182 s'atribueix a l'investigador de seguretat Lachlan Davidson, que va informar del problema a través del programa de recompenses per errors de Meta. Des de la divulgació inicial fins al llançament dels pegats, el temps de resposta va ser inusualment ràpid, cosa que reflecteix la gravetat de l'error i el seu abast a tot l'ecosistema web.
L'equip de React ha enviat versions reforçades dels paquets afectatsPer a la biblioteca principal, els mantenidors apunten a actualitzacions com ara React. 19.0.1, 19.1.2 i 19.2.1 i variants equivalents amb pegats de components relacionats per tancar el forat específic de deserialització al protocol Flight.
Pel que fa al marc, Vercel, que manté Next.js, va ser assignat a CVE-2025-66478 a l'impacte descendent del mateix defecte RSC i ha publicat versions actualitzades de Next.js que incorporen el comportament corregit dels components del servidor React. El seu avís de seguretat explica que la vulnerabilitat prové de la manera com React descodifica les càrregues útils destinades a Punts finals de la funció del servidor i que el pegat reforça aquestes rutines de descodificació.
Altres frameworks i autors de complements que depenen d'RSC, com ara els mantenidors dels complements Redwood, Waku i RSC per a Vite i Parcel, han començat a publicar la seva pròpia guia i actualitzacions de versió alineades amb el pegat react-server codiEs recomana als usuaris que segueixin els anuncis i les instruccions d'actualització específics del projecte.
Diversos proveïdors de seguretat comercial també han respost. Per exemple, Wiz ha publicat una consulta i un assessorament preconstruïts. al seu Centre d'amenaces perquè els clients puguin detectar instàncies vulnerables en els seus entorns, mentre que altres proveïdors afirmen que certs tallafocs d'aplicacions web poden bloquejar alguns intents d'explotació si el trànsit de React s'encamina correctament a través d'elles. No obstant això, els mantenidors tenen clar que els ajustos de configuració o les regles de WAF no substitueixen l'aplicació adequada de pegats.
Avaluació de riscos: qui hauria de preocupar-se més?
La resposta breu és que qualsevol organització que executi React 19 o frameworks dependents d'RSC en producció s'hauria de prendre això seriosament, però alguns patrons de desplegament destaquen com a particularment exposats. Les aplicacions Next.js de cara al públic, per exemple, presenten un objectiu temptador perquè sovint es troben directament a Internet i tenen les funcions RSC habilitades per defecte.
Organitzacions que fan un ús intensiu de Funcions de servidor, enrutament basat en servidor, previsualitzacions o funcions experimentals basades en RSC estan especialment en risc. En aquestes configuracions, és més probable que les càrregues útils de Flight es processin amb més freqüència, cosa que dóna als adversaris moltes oportunitats per provar les càrregues útils i refinar els exploits.
Els entorns compartits o multi-inquilí plantegen preocupacions addicionals. Si un servei React vulnerable s'executa amb un ampli accés als recursos interns, un L'èxit de l'RCE podria convertir-se en un punt d'inflexió per al moviment lateral més profundament a la xarxa o a través dels límits dels clients.
Els analistes també assenyalen que l'amplitud de l'adopció de React, per part d'empreses com Meta, Netflix, Airbnb, Shopify, Walmart i moltes altres—significa que l'impacte en el món real no es limita a càlculs de risc purament tècnics. Un compromís en una pila d'aplicacions important pot tenir efectes en cadena entre usuaris, socis i ecosistemes aigües avall.
Finalment, fins i tot els equips que creuen que no depenen gaire de l'RSC haurien de verificar aquesta suposició. Perquè Les eines i els models predefinits poden habilitar silenciosament les funcions RSC, alguns projectes poden estar més exposats del que els seus mantenidors pensen a primera vista.
Mesures pràctiques de mitigació per a usuaris de React i Next.js
En tots els avisos, es repeteix un punt de manera consistent: L'actualització a versions amb pegats és l'única solució definitivaNo hi ha cap indicador de configuració ni cap ajust menor que neutralitzi completament el comportament de desserialització insegur subjacent sense actualitzar els paquets afectats.
Per a les organitzacions que utilitzen React directament, els mantenidors recomanen passar a les versions reforçades, com ara la 19.0.1, la 19.1.2, la 19.2.1 o posteriors, juntament amb les actualitzacions react-server i paquets RSC relacionatsEls equips han de consultar l'avís de seguretat oficial de React per confirmar les versions exactes que aborden la CVE-2025-55182 al seu arbre de dependències.
Els projectes Next.js haurien de ser similars Actualitzeu a les versions del marc de treball amb pegats que inclouen la correcció per a CVE-2025-66478Com que una compilació predeterminada de Next.js és suficient per veure's afectada, fins i tot els llocs web petits i els quadres de comandament interns mereixen atenció, no només les aplicacions emblemàtiques.
Per a entorns que utilitzen altres marcs de treball compatibles amb RSC, com ara Redwood, Waku o complements RSC per a paquets com ara Vite i Parcel, el consell és fer un seguiment detallat dels anuncis dels proveïdors i implementar qualsevol actualització que inclogui el sistema reforçat react-server implementació tan aviat com estiguin disponibles. Sempre que sigui possible, s'han d'utilitzar entorns de prova per validar el comportament de l'aplicació abans d'implementar les correccions a la producció i aplicar pràctiques com la gestió segura de secrets a GitHub Actions.
Paral·lelament a l'aplicació de pegats, els equips de seguretat poden escanejar versions vulnerables i punts finals exposatsEines de proveïdors com Wiz poden ajudar a identificar on s'executen instàncies susceptibles de React o Next.js, mentre que els escàners de seguretat web i els inventaris d'actius poden mapejar quins serveis són accessibles des d'Internet en comptes d'estar confinats a xarxes internes.
Què haurien de tenir en compte els defensors a curt termini
La divulgació de CVE-2025-55182 i CVE-2025-66478 il·lustra un patró familiar: apareix un error crític en un component àmpliament utilitzat, els pegats arriben ràpidament i, a continuació, comença una cursa entre defensors i atacants. En aquest cas, la combinació d'un Puntuació CVSS de 10.0, RCE no autenticat i exposició per defecte fa que la cursa sigui particularment intensa.
Els investigadors de seguretat preveuen que la següent fase implicarà enginyeria inversa ràpida dels pegats pels actors d'amenaces. Fins i tot sense que es publiqui un codi detallat de prova de concepte, la comparació de versions antigues i noves proporciona prou pistes perquè els atacants experts reconstrueixin la lògica vulnerable.
Les organitzacions haurien d'esperar un augment de escaneig de punts finals de React i Next.js, així com més sol·licituds HTTP de sondeig dirigides a URL de funció del servidor i RSC. Els sistemes de registre i monitorització poden tenir un paper important aquí: les càrregues útils de vol anòmales o mal formades, els errors inesperats durant la deserialització i els pics en les sol·licituds a punts finals específics poden ser indicadors primerencs d'intent d'explotació, i les eines de prova com ara Col·laborador de Burp poden ajudar a reproduir vectors.
Alguns defensors també hi tornen a anar controls de defensa en profunditat al voltant dels seus desplegaments de React. Això pot incloure l'encaminament del trànsit a través de tallafocs d'aplicacions web, el reforç de l'exposició de xarxa dels serveis interns i l'aplicació de configuracions de privilegis mínims més estrictes per als permisos d'execució de l'aplicació, de manera que un compromís no atorgui automàticament un accés ampli.
Es recomana als equips de resposta a incidents que preparar-se per a possibles investigacions relacionades amb aquestes CVEAixò pot implicar actualitzar els manuals de gestió, garantir que els registres rellevants es conservin durant prou temps per analitzar comportaments sospitosos i establir contactes amb proveïdors de serveis o proveïdors de seguretat que puguin ajudar si se sospita que hi ha hagut un compromís.
En general, el missatge dels investigadors, proveïdors i proveïdors de núvol és coherent: tot i que encara no s'ha confirmat públicament cap explotació generalitzada, les condicions tècniques fan que sigui un objectiu atractiu, i esperar per aplicar el pegat augmenta significativament la finestra de risc.
Amb errors crítics d'execució remota de codi com ara CVE-2025-55182 a React i CVE-2025-66478 a Next.js, la conclusió pràctica és senzilla: assumir que els punts finals RSC vulnerables seran investigats, prioritzar les actualitzacions a versions reforçades i utilitzar les eines disponibles per localitzar i protegir les instàncies exposadesPer a una pila web que es basa en gran mesura en React i els seus frameworks circumdants, és probable que una remediació oportuna ara doni els seus fruits en menys emergències més endavant.
