CVE-2025-55182 i CVE-2025-66478: RCE crític en components de React Server i Next.js

Inici » Pitó » CVE-2025-55182 i CVE-2025-66478: RCE crític en components de React Server i Next.js

El descobriment de CVE-2025-55182 a React i el seu company CVE-2025-66478 a Next.js ha enviat un clar tret d'advertència al món del desenvolupament web modern. Aquests problemes exposen els servidors que utilitzen components de React Server (RSC) i els frameworks que implementen el protocol "Flight" d'RSC a l'execució remota de codi no autenticada, fins i tot quan s'executen amb una configuració completament estàndard i predefinida.

El que fa que aquesta situació sigui especialment preocupant és com poc esforç que necessita un atacant per convertir la falla en una arma: una sol·licitud HTTP manipulada dirigida a un punt final vulnerable pot ser suficient per executar codi arbitrari al servidor. Amb una gran part dels entorns de núvol que depenen de React i Next.js, la urgència que tenen els administradors i desenvolupadors d'aplicar pedaços és difícil de sobreestimar.

Comprensió de CVE-2025-55182 i CVE-2025-66478

Article relacionat:

Shai-Hulud: el ataque que sacude la cadena de suministro de npm

CVE-2025-55182 fa referència a l'error central al react-server paquet, el component que sustenta els components de React Server i el seu protocol "Flight". Aquest paquet és responsable de gestionar les càrregues útils especialitzades que s'utilitzen quan els components renderitzats pel servidor es transmeten al client, un mecanisme central per al nou ecosistema React 19.

En paral · lel, CVE-2025-66478 captura l'impacte en Next.js, que integra components de React Server i reutilitza el mateix protocol subjacent. Com que Next.js es basa directament en aquesta infraestructura RSC, qualsevol debilitat del protocol és heretada immediatament per les aplicacions típiques de Next.js, incloses les que s'arrenquen amb eines com create-next-app.

Ambdós identificadors descriuen vulnerabilitats crítiques i no autenticades d'execució remota de codiEls equips de seguretat els han qualificat amb puntuacions de gravetat màximes, cosa que reflecteix no només el seu impacte tècnic, sinó també el fet que l'explotació és possible en escenaris de desplegament del món real sense requisits previs complexos.

Els investigadors també han observat que el comportament afectat és activat per defecte en moltes configuracions. Això significa que les aplicacions no han d'utilitzar patrons inusuals ni afegir opcions arriscades per ser exposades; simplement adoptar les piles actuals basades en RSC pot ser suficient per heretar la vulnerabilitat.

Darrere de les càmeres, el problema prové de la manera com S'accepten i processen les càrregues útils RSC per la lògica del servidor. En lloc de validar i restringir completament l'entrada no fiable, el procés de deserialització permet que les dades controlades per l'atacant donin forma a les rutes d'execució al servidor.

Com el protocol de vol esdevé un camí cap a RCE

La causa arrel darrere CVE-2025-55182 en components de React Server és un defecte lògic de deserialització en la gestió del protocol "Flight" d'RSC. RSC utilitza un format de cable especialitzat per descriure arbres de components, accessoris i accions del servidor, que el servidor codifica i el client descodifica com a part del renderitzat.

Quan un servidor rep un càrrega útil de vol formada maliciosament, hauria de tractar cada part d'aquestes dades com a no fiable. En comptes d'això, la implementació vulnerable processa aquesta entrada d'una manera que li permeti influir eficaçment en el comportament privilegiat del servidor. El pas de desserialització no segur esdevé el pont entre les dades hostils i el codi JavaScript que s'executa amb privilegis de servidor complets.

Els investigadors de seguretat descriuen aquest tipus de problema com desserialització insegura: l'aplicació pren estructures d'entrada complexes, reconstrueix objectes o fluxos d'execució a partir d'ells i no estableix mesures de seguretat sòlides sobre el que aquests objectes reconstruïts poden fer. En aquest cas, obre la porta a un atacant que dirigeixi l'execució cap a camins de codi arbitraris.

Durant les proves, els equips de recerca van informar fiabilitat gairebé perfecta quan s'intenta explotarEls atacs de prova de concepte, tot i que no s'han descrit completament per limitar l'abús oportunista, han demostrat que aconsegueixen l'execució remota de codi amb una taxa d'èxit propera al 100%. L'únic requisit pràctic és la capacitat de lliurar una sol·licitud HTTP dissenyada a un punt final RSC exposat.

L'atac, per tant, és remot i no autenticat: no cal cap sessió vàlida, cap testimoni filtrat ni cap punt de suport previ. Es pot sondejar un Next.js públic o una altra aplicació basada en RSC que no s'hagi actualitzat i, si és vulnerable, es pot comprometre.

Qui i què està afectat

Com que la vulnerabilitat té les seves arrels en implementació central de react-server, el seu impacte s'estén més enllà del mateix React i Next.js a qualsevol framework que inclogui o integri RSC de manera similar. Això ha fet que l'abast de l'exposició potencial sigui significativament més ampli que una sola biblioteca o producte mantingut per un proveïdor.

Les anàlisis públiques han destacat Next.js com a objectiu descendent més destacat, atesa la seva popularitat i la profunda integració amb RSC. Les dades recollides per Wiz Research indiquen que una part substancial dels entorns de núvol executen versions de React o Next.js que es troben dins del rang de vulnerabilitat, cosa que posa en risc una part important de la infraestructura de renderització del costat del servidor web.

Les estimacions d'aquestes avaluacions suggereixen que al voltant de 39%-40% dels entorns de núvol contenen almenys una instància de React o Next.js afectada per aquests CVE. El mateix Next.js apareix a la majoria d'aquests entorns i, en molts casos, alimenta aplicacions d'accés públic exposades directament a Internet.

Més enllà de Next.js, qualsevol marc de treball o eina que incorpori el paquet react-server o d'altra manera admet que RSC estigui potencialment exposat. Alguns exemples que s'han marcat inclouen:

• Next.js, en les seves versions habilitades per a RSC.
• Complements de Vite RSC que proporcionen suport als components del servidor.
• Complements de Parcel RSC amb components integrats de React Server.
• Previsualitzacions de React Router RSC o llançaments experimentals.
• SDK de Redwood Implementacions utilitzant característiques RSC.
• El teu i marcs de treball similars emergents basats en RSC.

Els proveïdors de plataformes al núvol han començat a aclarir el radi de l'explosió des del seu punt de vista. Per exemple, Google ha indicat que les imatges estàndard del sistema operatiu públic a Google Cloud per a Compute Engine no s'envien amb piles RSC vulnerables per defecte. Tanmateix, un cop els usuaris implementen les seves pròpies aplicacions React o Next.js a sobre d'aquestes imatges, la responsabilitat d'aplicar el pegat recau en ells.

Per què es considera que el risc és extrem

Diverses característiques es combinen per fer CVE-2025-55182 i CVE-2025-66478 especialment preocupant per als defensors. En primer lloc, la superfície d'atac està integrada en la manera com RSC es comunica a través de la xarxa, de manera que s'hi pot accedir mitjançant el trànsit HTTP ordinari en moltes configuracions. Els servidors no necessiten funcions exòtiques habilitades per ser accessibles; una implementació estàndard és suficient.

En segon lloc, La configuració per defecte és vulnerable per a aplicacions típiques que utilitzen el protocol RSC afectat. Els desenvolupadors que s'han basat en eines i pràctiques recomanades i preconfigurades poden haver implementat sense saber-ho aplicacions susceptibles sense personalitzar res en absolut.

En tercer lloc, l'impacte d'una explotació reeixida és tan greu com pot ser: execució remota completa de codi al servidorUn cop un atacant arriba a aquest nivell, normalment pot executar ordres arbitràries, endinsar-se més en l'entorn, exfiltrar dades o manipular la lògica de l'aplicació. En entorns nadius del núvol on els serveis estan estretament integrats, això es pot convertir ràpidament en un compromís més ampli.

Els investigadors de seguretat també han expressat la seva preocupació que, ara que els pegats i els avisos són públics, només és qüestió de temps que els adversaris facin enginyeria inversa dels canvis per construir les seves pròpies vulnerabilitats, tal com s'ha comentat a guies sobre seguretat npm.

Finalment, el la pura ubiqüitat de React i Next.js en entorns de producció amplifica el risc. React és una de les biblioteques de JavaScript més utilitzades per a la creació d'interfícies, i Next.js s'ha convertit en un framework de referència per a aplicacions renderitzades per servidor i híbrides. Un error en un component de nínxol podria haver-se mantingut relativament contingut; un error a RSC afecta una gran part de la pila web.

Resposta dels proveïdors i dels equips de seguretat

Un cop identificada la vulnerabilitat, el procés de divulgació es va avançar ràpidament. L'investigador de seguretat Lachlan Davidson va informar de la falla a l'equip de React a través del programa de recompenses d'errors de Meta a finals de novembre. Aquesta notificació anticipada va permetre als mantenidors estudiar el problema, preparar versions reforçades i coordinar les directrius amb els frameworks posteriors com ara Next.js.

Els mantenidors de React han fet des de llavors ha publicat versions actualitzades de React i del paquet react-server que aborden el comportament de desserialització insegur al protocol Flight. Aquestes compilacions reforçades estan dissenyades per gestionar les càrregues útils RSC de manera més segura, tancant les rutes de codi que abans permetien que dades no fiables dictessin l'execució del costat del servidor.

Vercel i el L'equip de Next.js ha emès els seus propis avisos, detallant quines versions estan afectades i com els usuaris haurien d'actualitzar-les. L'objectiu ha estat fer que sigui el més senzill possible per als equips identificar les implementacions afectades i passar a versions amb pegats, incloses les aplicacions creades amb eines comunes com ara create-next-app.

En la part defensiva, Wiz Research i altres proveïdors de seguretat han publicat anàlisis, escanejos i consultes per ajudar les organitzacions a detectar instàncies vulnerables als seus entorns de núvol. Wiz, per exemple, ha afegit consultes preconstruïdes i avisos del centre d'amenaces per fer emergir instal·lacions de React i Next.js que encara depenen de la implementació defectuosa d'RSC.

Els experts en la comunitat de resposta a incidents també es preparen per a la probabilitat que algunes organitzacions s'enfrontin a intents d'explotació del món realLes empreses de seguretat han animat els equips que sospitin d'activitat específica relacionada amb CVE-2025-55182 o CVE-2025-66478 a contractar ràpidament els especialistes de resposta, idealment abans que els atacants puguin aprofundir la seva posició.

Mesures immediates per a desenvolupadors i operadors

Per als equips responsables d'aplicacions web creades amb components de React Server, L'actualització a versions reforçades és l'única mitigació fiableÉs poc probable que els ajustos de configuració per si sols eliminin completament el risc i, alhora, preservin la funcionalitat normal de l'RSC, ja que el defecte està inherent a la manera com es processa el protocol en si.

Una pràctica pla de resposta per a les organitzacions podria tenir aquest aspecte:

• Inventari de totes les aplicacions React i Next.js, incloent-hi eines internes i serveis menys visibles, no només llocs web emblemàtics de cara al públic.
• Identificar quins desplegaments utilitzen RSC o es basen en versions de React i Next.js marcats com a vulnerables pels avisos dels proveïdors.
• Actualitzar React, react-server i Next.js a les versions reforçades publicades pels mantenidors, seguint les seves instruccions específiques de versió.
• Consulta altres marcs de treball compatibles amb RSC com ara els complements Redwood, Waku o RSC per a Vite i Parcel, i aplicar les actualitzacions tan bon punt els mantenidors les publiquin.
• Revisar el registre i la telemetria al voltant dels punts finals d'RSC per a sol·licituds inusuals, mal formades o sospitoses que puguin indicar intents de sondeig o explotació.

Les organitzacions que utilitzen eines de seguretat al núvol també poden aprofitar el contingut de detecció proporcionat pel proveïdor per accelerar aquest procés. Per exemple, les consultes proporcionades per Wiz poden ajudar a localitzar paquets i marcs vulnerables en implementacions de diversos núvols, reduint la possibilitat que un servei passat per alt quedi exposat.

Sempre que sigui possible, els equips també podrien considerar limitar temporalment l'exposició dels punts finals de RSC darrere de capes addicionals de control d'accés, limitació de velocitat o tallafocs d'aplicacions mentre es despleguen els pegats. Aquestes mesures són solucions provisionals en lloc de solucions completes, però poden ajudar a reduir la finestra d'oportunitat per als atacants.

Com passa amb qualsevol RCE d'alt perfil, l'enduriment monitorització al voltant d'actius crítics és igualment important. L'alerta sobre anomalies en la creació de processos, connexions de xarxa sortints des de servidors d'aplicacions i canvis de configuració inesperats pot ajudar a detectar una explotació reeixida aviat.

Implicacions a llarg termini per a l'ecosistema web

L'aparició de CVE-2025-55182 a React i CVE-2025-66478 a Next.js també està provocant una conversa més àmplia sobre com es dissenyen i s'implementen les noves funcions de la plataforma web. El renderitzat del costat del servidor i els components del servidor prometen beneficis en el rendiment i l'experiència del desenvolupador, però també concentren molta potència i complexitat en un conjunt relativament petit de protocols i biblioteques.

Una lliçó d'aquest incident és que Les capes de serialització i deserialització requereixen un examen especialQualsevol mecanisme que reconstrueixi objectes complexos o interpreti càrregues útils estructurades de fonts no fiables és candidat a errors greus si la validació és incompleta. A mesura que més marcs de treball adopten patrons similars a RSC, és probable que els revisors de codi i els auditors de seguretat se centrin encara més en aquests límits.

L'escala de l'impacte potencial també ha posat de manifest com Els ecosistemes de codi obert depenen de respostes ràpides i coordinades quan apareixen defectes crítics. React, Next.js, els proveïdors de núvol i els proveïdors de seguretat havien d'alinear-se ràpidament per publicar pegats, documentació i eines de detecció. Aquesta coordinació pot escurçar significativament el temps entre la divulgació i la correcció, reduint el dany general.

Alhora, l'incident posa de manifest com fàcilment, la configuració predeterminada pot donar forma al risc del món realQuan una funció potent s'habilita per defecte i s'adopta àmpliament, qualsevol debilitat d'aquesta funció es converteix en un problema sistèmic gairebé de la nit al dia. Els futurs dissenys de marcs de treball poden posar més èmfasi en comportaments segurs per defecte, funcions avançades opcionals o compromisos de seguretat més clars.

Finalment, és probable que els equips de desenvolupament revisin els seus propis modelització d'amenaces per a funcions basades en servidorFins i tot en entorns que abans semblaven ben defensats, la capacitat de les sol·licituds no autenticades d'influir en les rutes de renderització del costat del servidor impulsarà els equips de seguretat a qüestionar suposicions de llarga durada i a invertir en proves més robustes.

A mesura que la comunitat continua assimilant aquestes vulnerabilitats, les organitzacions que prenen acció ràpida per aplicar pegats, supervisar i reavaluar el seu ús d'RSC estaran en una posició més forta. Abordar CVE-2025-55182 i CVE-2025-66478 no es tracta només de corregir un error; és un recordatori de com d'interconnectades estan les piles web modernes i de com de crucial és vigilar de prop els fonaments en què es basen.