IT

Vulnerabilitate critică identificată la nivelul React și Next.js

Curierul Național
Autor
Curierul Național

Sursa: dnsc.ro

Cercetătorii în domeniul securității cibernetice au descoperit o vulnerabilitate critică cu scor CVSS de 10.0 (Critic), care afectează ecosistemul React și Next.js, permițând execuția de cod la distanță fără autentificare și având un impact sever asupra confidențialității, integrității și disponibilității sistemelor afectate.

CVE-2025-55182 este o vulnerabilitate critică de tip remote code execution în implementarea React Server Components (RSC), care permite unui atacator neautentificat să execute cod arbitrar pe server prin deserializarea nesigură a unor obiecte interne speciale (denumite Chunks) transmise prin intermediul protocolului Flight în cadrul componentelor RSC. 

DETALII TEHNICE

Vulnerabilitatea CVE-2025-55182 este cauzată de o deserializare nesigură a payload-urilor transmise prin protocolul Flight, permițând injectarea de obiecte rău inteționate care pot duce la execuție de cod pe serverul Node.js fără a fi necesară autentificarea prealabilă, afectând inclusiv aplicațiile Next.js care folosesc App Router și RSC.

Exploatarea acestei vulnerabilități poate permite unui atacator neautentificat să execute cod arbitrar pe server, ceea ce poate duce la compromiterea completă a infrastructurii, acces neautorizat la date sensibile stocate sau procesate de aplicație, modificarea sau ștergerea fișierelor critice, manipularea funcționalităților aplicației, instalarea de software periculos, punând în pericol atât confidențialitatea, integritatea și disponibilitatea serviciilor afectate.

VERSIUNI ȘI PACHETE AFECTATE

Avenir Telecom introduce 8 modele noi în gama de telefoane mobile Energizer®

React (CVE-2025-55182)

Versiuni vulnerabile:

  • React RSC 19.0.0, 19.1.0, 19.1.1, 19.2.0.

Pachete vulnerabile:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Next.js (CVE-2025-66478)

Google lansează Chrome 71, cu filtre necruţătoare

Versiuni vulnerabile:

- Publicitate -
  • Next.js 15.x
  • Next.js 16.x
  • Canary builds începând cu versiunea 14.3.0 – canary.77 și versiunile ulterioare.

VERSIUNI ȘI PACHETE REMEDIATE

React RSC:

  • 19.0.1 / 19.1.2 / 19.2.1

Next.js:

  • 15.0.5 / 15.1.9 / 15.2.6 / 15.3.6 / 15.4.8 / 15.5.7
  • 16.0.7
  • 15.6.0-canary.58 / 16.1.0-canary.12

RECOMANDĂRI GENERALE

  • Cel mai important pas este actualizarea la cele mai recente versiuni, unde vulnerabilitatea a fost remediata, urmat de rebuild și redeploy pentru toate aplicațiile care folosesc RSC / Next.js.
  • Actualizare Next.js:
    • npm install next@15.0.5 # pentru versiuni 15.0.x
    • npm install next@15.1.9 # pentru versiuni 15.1.x
    • npm install next@15.2.6 # pentru versiuni 15.2.x
    • npm install next@15.3.6 # pentru versiuni 15.3.x
    • npm install next@15.4.8 # pentru versiuni 15.4.x
    • npm install next@15.5.7 # pentru versiuni 15.5.x
    • npm install next@16.0.7 # pentru versiuni 16.0.x
    • npm install next@15.6.0-canary.58 # pentru versiuni 15.x canary
    • npm install next@16.1.0-canary.12 # pentru versiuni 16.x canary
  • Actualizare la cea mai recentă versiune a pluginului RSC:
    • npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
  • Actualizarea pachetelor vulnerabile din package.json:
    • npm install react@latest
    • npm install react-dom@latest
    • npm install react-server-dom-parcel@latest
    • npm install react-server-dom-webpack@latest
    • npm install @vitejs/plugin-rsc@latest
  • Actualizare la cele mai recente versiuni stabile pentru toate componentele și pachetele relevante din ecosistemul Next.js și React Server Components, inclusiv Next.js, React și React DOM, pluginurile RSC pentru Vite, pachetele react-server-dom-parcel, react-server-dom-webpack și react-server-dom-turbopack, precum și orice SDK-uri sau framework-uri auxiliare (React Router, Expo, Redwood SDK, Waku), pentru a asigura remedierea vulnerabilității și compatibilitatea completă între module (vezi și website-ul React).
  • Folosirea scanner-ului npx fix-react2shell-next. Este un instrument care detectează și remediează vulnerabilitatea React2Shell în proiectele Next.js, iar dezvoltatorii sunt sfătuiți să îl ruleze pentru a aplica patch-urile în mod interactiv sau automat folosind –fix, cu posibilitatea de a exporta rezultatele în format JSON pentru a le putea integra în fluxuri de monitorizare.

CONCLUZII

Vulnerabilitatea React2Shell și impactul ei asupra Next.js reprezintă una dintre cele mai grave și recente vulnerabilități într-un ecosistem JS modern. Este ușor de exploatat, are rată de succes foarte mare, și afectează configurații standard folosite de mii de aplicații web.

Hackeri afiliați serviciilor secrete de stat ruse s-au infiltrat în APT Storm-0156

DNSC a identificat mai multe site-uri vulnerabile, care au fost notificate, și continuăm în paralel să căutăm alte instanțe expuse, urmărind procesul de remediere și oferind suport pentru aplicarea măsurilor corective necesare.

Dacă rulați sau administrați aplicații React/Next.js este foarte important să tratați asta ca pe un incident de securitate critic: inventariere, update imediat, verificare și monitorizare.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Distribuie articolul
Articolul anterior Depozitarul Central va distribui dividende pentru ASCENDIA S.A.
Articolul următor Statul nu pregătește liberalizarea pieței de gaze și favorizează terenul pentru noi scumpiri, ar putea apărea o criză artificială a gazelor
Niciun comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-

Ultimele articole

Reacția NATO după ce un avion F-16 românesc a doborât o dronă în spaţiul aerian al Estoniei
Actualitate Extern
UE ar putea, pe viitor, să retragă finanțarea acordată țărilor membre care susțin Rusia sau Iranul
Extern
FPTR: Proiectul MEDAT privind clasificarea turistică trebuie refăcut, nu trecut formal prin dezbatere publică
Turism