- El CVE-2025-55182 a React i el CVE-2025-66478 a Next.js permeten l'execució remota de codi no autenticada a través del protocol React Server Components Flight.
- El problema prové de la desserialització no segura de càrregues útils RSC creades, cosa que afecta les configuracions predeterminades en frameworks populars.
- Els investigadors informen d'una fiabilitat d'explotació propera al 100% i estimen que al voltant del 39-40% dels entorns de núvol inclouen instàncies vulnerables.
- Les actualitzacions immediates a les versions reforçades de React i Next.js són l'única mitigació definitiva; els defensors també haurien d'auditar qualsevol marc de treball habilitat per a RSC.
Durant els darrers dies, l'ecosistema de JavaScript ha estat lluitant amb un parell de vulnerabilitats de seguretat de màxima severitat a React i Next.js que obren la porta a l'execució remota de codi en servidors afectats. Els defectes, assignats com a CVE-2025-55182 per Reaccionar i CVE-2025-66478 per a Next.js, centrar-se en com els components de React Server gestionen el trànsit de xarxa especialitzat en el protocol anomenat Flight.
Perquè aquests problemes afecten configuracions predeterminades del marc de treball i es poden activar només amb una sol·licitud HTTP elaborada, han ascendit ràpidament al capdamunt de les llistes de pegats de molts equips de seguretat. Els proveïdors, els investigadors i els proveïdors de núvol ara estan alineats amb el mateix missatge: aplicar pegats immediatament, avaluar l'exposició i preparar-se per a intents d'explotació i escaneig amplis.
Què són realment CVE-2025-55182 i CVE-2025-66478
Al cor del problema hi ha una falla en el paquet react-server, el component que alimenta els components del servidor React (RSC) i el protocol Flight. En versions vulnerables, el servidor accepta càrregues útils RSC amb formes especials i els deserialitza sense una validació adequada, permetent que les dades controlades per l'atacant interfereixin amb la lògica que s'executa al servidor.
Aquest comportament converteix el que haurien de ser dades estructurades en una vehicle per executar JavaScript privilegiat al backend. Quan una sol·licitud HTTP té com a objectiu un punt final RSC o Server Function amb una càrrega útil Flight maliciosa, la ruta de deserialització no segura es pot fer un ús indegut per aconseguir una execució remota de codi (RCE) no autenticada. No cal accés previ, credencials ni interacció de l'usuari.
El costat de reacció del problema es fa un seguiment com a CVE-2025-55182, classificat al capdamunt de l'escala amb una puntuació CVSS de 10.0. Com que Next.js implementa RSC i el protocol Flight a sobre d'aquestes primitives, hereta la mateixa debilitat principal; aquest impacte descendent s'assigna CVE-2025-66478 i té la mateixa qualificació de gravetat.
Els avisos de seguretat descriuen l'error com un vulnerabilitat de deserialització lògica en lloc d'un problema clàssic de seguretat de la memòria. L'error rau en com s'analitzen i es confia en les càrregues útils, no en la gestió de la memòria intermèdia de baix nivell. No obstant això, el resultat és igual de greu: un atacant remot pot dirigir l'execució del costat del servidor.
Quines configuracions de React i Next.js són vulnerables
Els impactes de la vulnerabilitat La pila del costat del servidor de React 19 en diverses versions desplegades habitualment. Els mantenidors han indicat versions com la 19.0, 19.1.0, 19.1.1 i 19.2.0 com a vulnerables per a react-server paquet i la seva implementació del protocol de vol. Les branques amb pegats es distribueixen com a 19.0.1, 19.1.2 i 19.2.1, que introdueixen una lògica de deserialització endurida.
Pel que fa al marc, Next.js es veu afectat des del primer momentUna aplicació típica generada amb create-next-app, creat per a producció i implementat amb la configuració predeterminada, es pot explotar sense que el desenvolupador hi afegeixi codi addicional. Per tant, Vercel, l'empresa que hi ha darrere de Next.js, ha emès el seu propi avís sota la CVE-2025-66478 i ha publicat versions actualitzades del framework que consumeixen els paquets React corregits.
L'impacte no es limita només a Next.js. Qualsevol component de l'ecosistema que agrupa o s'integra en components de React Server i el protocol de vol probablement està exposat. Això inclou, entre d'altres, eines i marcs de treball com ara:
- Next.js
- @vitejs/plugin-rsc (Complement Vite RSC)
- @parcel/rsc (Complement Parcel RSC)
- Vista prèvia de React Router RSC
- RedwoodSDK / rwsdk
- El teu
Els equips de recerca han emfatitzat que les configuracions predeterminades solen estar en riscEn altres paraules, fins i tot si un desenvolupador no ha habilitat intencionadament cap indicador experimental o configuració inusual, el seu desplegament encara pot ser explotable si utilitza una versió afectada dels components de React Server.
Com de fàcil és l'explotació i per què els defensors estan preocupats
El que ha alarmat la comunitat de seguretat és el baixa barrera a l'explotacióDiversos grups de recerca informen que per atacar aquestes fallades només cal enviar una sol·licitud HTTP especialment dissenyada a un punt final RSC o de funció de servidor accessible. No cal autenticació, condicions prèvies complexes ni interacció de l'usuari, cosa que fa que l'escenari sigui particularment atractiu per a atacs automatitzats.
En proves controlades, equips com ara Wiz Research han creat exploits de prova de concepte funcionals i han observat fiabilitat propera al 100% en activar RCE en configuracions vulnerables. Tot i que aquestes càrregues útils completes encara no s'han publicat, el consens és que el comportament subjacent és prou senzill perquè altres puguin reconstruir exploits que funcionen estudiant els pegats públics.
Donada la popularitat de React i Next.js, diversos experts creuen que L'escaneig massiu i l'armament són només qüestió de tempsHi ha comparacions primerenques amb altres defectes del costat del servidor d'alt impacte on l'explotació va augmentar un cop els detalls tècnics i el codi d'exemple es van circular en comunitats clandestines o repositoris públics.
Els investigadors també destaquen la amplitud d'objectius potencialsReact sustenta llocs web i aplicacions en grans organitzacions a través de xarxes socials, comerç electrònic, streaming, SaaS i més. Frameworks com Next.js s'utilitzen àmpliament tant per a aplicacions internes com orientades al client, cosa que significa que les instàncies vulnerables poden aparèixer a les profunditats de les xarxes corporatives, així com en frontends orientats al públic.
En el moment en què es van publicar molts dels avisos, hi havia no hi ha informes confirmats d'explotació en estat salvatgeNo obstant això, els analistes diuen que és raonable suposar que els actors d'amenaces ja estan aplicant enginyeria inversa a les solucions i mapejant quins hosts són accessibles i mal configurats.
Com d'extensió té l'exposició en els entorns de núvol
Diversos punts de dades d'escanejos a escala de núvol il·lustren la magnitud del problema. Els caçadors d'amenaces de Wiz informen que al voltant de 39% dels entorns de núvol que van analitzar contenen instàncies de React o Next.js que executen versions vulnerables a CVE-2025-55182 i/o CVE-2025-66478. Altres desglossaments situen la xifra més a prop de 40% quan es compten les dues tecnologies juntes.
Si mirem específicament Next.js, el marc de treball en si mateix apareix aproximadament 69% dels entorns al seu conjunt de dades. D'aquests, una majoria significativa d'amfitrions aplicacions d'accés públic basat en Next.js. Dit d'una altra manera, la seva telemetria suggereix que aproximadament 44% de tots els entorns de núvol tenir com a mínim una instància de Next.js exposada a Internet, independentment de si actualment està actualitzada amb un pegat.
Aquesta combinació de alta densitat de desplegament i exposició pública és exactament el que busquen els atacants a l'hora de triar en quines vulnerabilitats invertir esforços. Una sola cadena d'explotacions es pot reutilitzar a escala contra molts objectius amb configuracions similars, i les eines automatitzades poden escombrar rangs IP sencers per trobar servidors sense pegats.
Alguns proveïdors estan treballant per reduir el radi de l'explosió. Per exemple, Google ha indicat que imatges de sistema operatiu públic per defecte Les imatges utilitzades al Compute Engine de Google Cloud no són vulnerables des del primer moment, tot i que els clients encara han d'auditar i aplicar pegats a les aplicacions que implementin sobre aquestes imatges.
Venedors que ofereixen Tallafocs d'aplicacions web (WAF) també estan entrant en la discussió. Cloudflare, per exemple, ha suggerit que el seu WAF pot ajudar a protegir algunes aplicacions React dels intents d'explotació quan el trànsit s'encamina completament a través del servei, tot i que és millor veure aquestes proteccions com una capa addicional en lloc d'un substitut de l'actualització del programari subjacent.
Cronologia, descobriment i resposta del proveïdor
La cadena d'esdeveniments al voltant de CVE-2025-55182 i CVE-2025-66478 es va desenvolupar ràpidament. Investigador de seguretat Lachlan Davidson va identificar el problema en la manera com React descodifica les càrregues útils destinades als punts finals de les funcions del servidor React i el va informar a través del programa de recompenses d'errors de Meta a finals de novembre.
React, desenvolupat originalment a Meta i ara una pedra angular de moltes piles web modernes, va avançar ràpidament un cop es va confirmar l'informe. En un termini aproximat de quatre dies, l'equip de React, en coordinació amb Meta, va emetre actualitzacions d'emergència per a les línies 19.x afectades, juntament amb un avís de seguretat que instava a actualitzacions immediates.
El mateix dia, Vercel va anunciar el seu propi avís per a Next.js sota la CVE-2025-66478. Els responsables del manteniment del framework han publicat versions modificades, instruccions per als usuaris i detalls sobre com la implementació d'RSC a Next.js hereta el comportament vulnerable de les biblioteques del servidor de React.
Molts dels escrits públics intencionadament omet els detalls de l'explotació pas a pas de moment. En comptes d'això, se centren a explicar el risc, enumerar els components i les versions afectats i dirigir els usuaris a les versions actualitzades. L'objectiu és donar temps als defensors per implementar correccions mentre s'alenteixen els atacants menys sofisticats.
Veus de la indústria, inclosos investigadors d'empreses com watchTowr i Rapid7, s'han fet ressò del missatge que aquest és un problema d'alta prioritat per a qualsevol persona que executi React o Next.js en producció, i que el període abans que els exploits apareguin públicament pot ser curt.
Què haurien de fer els equips ara mateix
Per a les organitzacions que utilitzen components de React Server, Next.js o qualsevol dels complements i marcs de treball habilitats per a RSC, la guia més clara és que L'actualització a versions reforçades és l'única mitigació completaNo hi ha cap interruptor de configuració que neutralitzi l'error de manera segura mentre es manté la versió vulnerable.
Pel que fa a React, això significa passar de les versions 19.x afectades, com ara la 19.0, la 19.1.0, la 19.1.1 i la 19.2.0 a 19.0.1, 19.1.2 o 19.2.1, depenent de la branca a la qual estigui fixat un projecte. Aquestes versions incorporen comprovacions més estrictes al voltant de les càrregues útils del protocol de vol i tanquen el comportament de deserialització insegur.
Per als usuaris de Next.js, la recomanació és actualització a les versions del marc de treball amb pegats anunciat a l'avís de Vercel, garantint que l'arbre de dependències inclogui els paquets del servidor React corregits. Fins i tot els projectes que no utilitzen explícitament RSC al seu propi codi poden quedar exposats si el marc de treball habilita components de servidor sota el capó.
Els equips que depenen d'altres piles habilitades per a RSC, com ara Redwood, Waku, la vista prèvia de React Router RSC i els complements RSC per a Vite i Parcel, haurien de supervisar els canals oficials d'aquests projectes. Molts d'ells inclouen les seves pròpies còpies del temps d'execució del servidor React, de manera que els seus mantenidors publiquen instruccions d'actualització específiques i números de versió que cal buscar.
Per a les organitzacions amb grans extensions al núvol, pot ser difícil saber on resideixen totes les parts vulnerables. Alguns proveïdors de seguretat, com ara Wiz, ofereixen consultes i avisos predefinits dins de les seves plataformes per ajudar els clients a identificar les instàncies de React i Next.js afectades en diversos entorns. D'altres estan posant a disposició dels equips de seguretat interns la lògica de detecció i les regles d'escaneig.
Què significa això per a l'ecosistema web en general
L'aparició de CVE-2025-55182 i CVE-2025-66478 està provocant un debat més ampli sobre com Els marcs de treball de JavaScript del costat del servidor gestionen formats de serialització complexosL'RSC i el protocol Flight són eines potents per crear aplicacions modernes, però la mateixa flexibilitat que permet funcions avançades també pot introduir superfícies d'atac subtils si la lògica d'anàlisi sintàctica no es bloqueja acuradament.
Per als desenvolupadors, aquest episodi és un recordatori que Confiar en el comportament predeterminat del marc de treball no garanteix la seguretat i la importància de protegir-se contra Atacs a la cadena de subministrament contra NPMEn aquest cas, les configuracions estàndard ordinàries van ser suficients per exposar una aplicació a RCE no autenticat. Mantenir-se al dia amb els avisos de seguretat, fixar dependències i aplicar actualitzacions ràpidament s'estan convertint en tasques innegociables per als equips que ofereixen serveis basats en React o Next.js.
Des d'un punt de vista defensiu, les organitzacions aprofiten aquest esdeveniment per revisar les seves estratègies de protecció per capesL'aplicació de pegats és una prioritat, però molts també estudien com reforçar els controls d'accés als punts finals administratius o interns, implementar regles WAF per detectar trànsit sospitós del protocol de vol i millorar l'observabilitat dels errors del costat del servidor que podrien indicar intents d'explotació.
La situació també posa de manifest quant d'Internet depèn ara d'un conjunt relativament petit de components de codi obert compartitsUn sol error en una biblioteca àmpliament adoptada pot estendre's pels proveïdors de núvol, les plataformes SaaS i els entorns empresarials en només uns dies. La divulgació coordinada, la resposta ràpida dels proveïdors i una comunicació clara esdevenen fonamentals quan tantes organitzacions es veuen afectades alhora.
De moment, l'objectiu és aconseguir que les instal·lacions vulnerables de React i Next.js siguin versions corregides abans. l'explotació esdevé rutinàriaAmb investigadors que informen d'una fiabilitat d'explotació gairebé perfecta, configuracions predeterminades vulnerables i una part substancial dels entorns de núvol que executen versions afectades, aquests CVE han passat ràpidament de detalls obscurs de protocol a una preocupació operativa urgent per als equips que mantenen aplicacions JavaScript modernes.
