IT

Vulnerabilitate critică identificată la nivelul React și Next.js

Curierul Național
Autor
Curierul Național

Sursa: dnsc.ro

Cercetătorii în domeniul securității cibernetice au descoperit o vulnerabilitate critică cu scor CVSS de 10.0 (Critic), care afectează ecosistemul React și Next.js, permițând execuția de cod la distanță fără autentificare și având un impact sever asupra confidențialității, integrității și disponibilității sistemelor afectate.

CVE-2025-55182 este o vulnerabilitate critică de tip remote code execution în implementarea React Server Components (RSC), care permite unui atacator neautentificat să execute cod arbitrar pe server prin deserializarea nesigură a unor obiecte interne speciale (denumite Chunks) transmise prin intermediul protocolului Flight în cadrul componentelor RSC. 

DETALII TEHNICE

Vulnerabilitatea CVE-2025-55182 este cauzată de o deserializare nesigură a payload-urilor transmise prin protocolul Flight, permițând injectarea de obiecte rău inteționate care pot duce la execuție de cod pe serverul Node.js fără a fi necesară autentificarea prealabilă, afectând inclusiv aplicațiile Next.js care folosesc App Router și RSC.

Exploatarea acestei vulnerabilități poate permite unui atacator neautentificat să execute cod arbitrar pe server, ceea ce poate duce la compromiterea completă a infrastructurii, acces neautorizat la date sensibile stocate sau procesate de aplicație, modificarea sau ștergerea fișierelor critice, manipularea funcționalităților aplicației, instalarea de software periculos, punând în pericol atât confidențialitatea, integritatea și disponibilitatea serviciilor afectate.

VERSIUNI ȘI PACHETE AFECTATE

orange
5 noi startup-uri se alătură Orange Fab

React (CVE-2025-55182)

Versiuni vulnerabile:

  • React RSC 19.0.0, 19.1.0, 19.1.1, 19.2.0.

Pachete vulnerabile:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Next.js (CVE-2025-66478)

Vrei sa pornesti o afacere online
Vrei să pornești o afacere online? Iată 3 idei care îți pot aduce câștiguri frumoase!

Versiuni vulnerabile:

- Publicitate -
  • Next.js 15.x
  • Next.js 16.x
  • Canary builds începând cu versiunea 14.3.0 – canary.77 și versiunile ulterioare.

VERSIUNI ȘI PACHETE REMEDIATE

React RSC:

  • 19.0.1 / 19.1.2 / 19.2.1

Next.js:

  • 15.0.5 / 15.1.9 / 15.2.6 / 15.3.6 / 15.4.8 / 15.5.7
  • 16.0.7
  • 15.6.0-canary.58 / 16.1.0-canary.12

RECOMANDĂRI GENERALE

  • Cel mai important pas este actualizarea la cele mai recente versiuni, unde vulnerabilitatea a fost remediata, urmat de rebuild și redeploy pentru toate aplicațiile care folosesc RSC / Next.js.
  • Actualizare Next.js:
    • npm install next@15.0.5 # pentru versiuni 15.0.x
    • npm install next@15.1.9 # pentru versiuni 15.1.x
    • npm install next@15.2.6 # pentru versiuni 15.2.x
    • npm install next@15.3.6 # pentru versiuni 15.3.x
    • npm install next@15.4.8 # pentru versiuni 15.4.x
    • npm install next@15.5.7 # pentru versiuni 15.5.x
    • npm install next@16.0.7 # pentru versiuni 16.0.x
    • npm install next@15.6.0-canary.58 # pentru versiuni 15.x canary
    • npm install next@16.1.0-canary.12 # pentru versiuni 16.x canary
  • Actualizare la cea mai recentă versiune a pluginului RSC:
    • npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
  • Actualizarea pachetelor vulnerabile din package.json:
    • npm install react@latest
    • npm install react-dom@latest
    • npm install react-server-dom-parcel@latest
    • npm install react-server-dom-webpack@latest
    • npm install @vitejs/plugin-rsc@latest
  • Actualizare la cele mai recente versiuni stabile pentru toate componentele și pachetele relevante din ecosistemul Next.js și React Server Components, inclusiv Next.js, React și React DOM, pluginurile RSC pentru Vite, pachetele react-server-dom-parcel, react-server-dom-webpack și react-server-dom-turbopack, precum și orice SDK-uri sau framework-uri auxiliare (React Router, Expo, Redwood SDK, Waku), pentru a asigura remedierea vulnerabilității și compatibilitatea completă între module (vezi și website-ul React).
  • Folosirea scanner-ului npx fix-react2shell-next. Este un instrument care detectează și remediează vulnerabilitatea React2Shell în proiectele Next.js, iar dezvoltatorii sunt sfătuiți să îl ruleze pentru a aplica patch-urile în mod interactiv sau automat folosind –fix, cu posibilitatea de a exporta rezultatele în format JSON pentru a le putea integra în fluxuri de monitorizare.

CONCLUZII

Vulnerabilitatea React2Shell și impactul ei asupra Next.js reprezintă una dintre cele mai grave și recente vulnerabilități într-un ecosistem JS modern. Este ușor de exploatat, are rată de succes foarte mare, și afectează configurații standard folosite de mii de aplicații web.

Premieră în România: Ministerul Investițiilor și Proiectelor Europene (MIPE) a folosit roboți RPA Tailent pentru a evalua cererile de finanțare depuse de IMM-uri

DNSC a identificat mai multe site-uri vulnerabile, care au fost notificate, și continuăm în paralel să căutăm alte instanțe expuse, urmărind procesul de remediere și oferind suport pentru aplicarea măsurilor corective necesare.

Dacă rulați sau administrați aplicații React/Next.js este foarte important să tratați asta ca pe un incident de securitate critic: inventariere, update imediat, verificare și monitorizare.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Distribuie articolul
Articolul anterior Depozitarul Central va distribui dividende pentru ASCENDIA S.A.
Articolul următor Statul nu pregătește liberalizarea pieței de gaze și favorizează terenul pentru noi scumpiri, ar putea apărea o criză artificială a gazelor
Niciun comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-

Ultimele articole

Retrospectivă integrală Corneliu Porumboiu la TIFF.25
Cultură și Educație
ANCOM: Recomandări privind expedierea bunurilor valoroase
Actualitate
Donald Trump, acuzat de presa iraniană că minte despre tratative ca să manipuleze prețul petrolului
Extern