Caută pe site
Publică anunț în ziar
curierul-national-logo Logo-Curierul-National-Blck
Publică anunț în ziar
  • Actualitate
  • Economie
    • Agricultură
    • Asigurări
    • Auto
    • Companii
    • Construcții
    • Energie
    • Finanțe și Bănci
    • Fiscalitate
    • HR
    • Imobiliare
    • IT
    • Retail
    • Transporturi
    • Turism
  • Extern
  • Politic
  • Cultură și Educație
  • Sport
  • Opinii
Reading: Vulnerabilitate critică identificată la nivelul React și Next.js
Distribuie
Curierul NationalCurierul National
Search
  • Actualitate
  • Economie
  • Extern
  • Opinii
  • Politic
  • Sport
  • Salvate
  • PUBLICAȚIA
    • Despre noi / Contact
    • Publicitate
    • Fonduri Europene
    • Redacția
Have an existing account? Sign In
Follow
IT

Vulnerabilitate critică identificată la nivelul React și Next.js

Curierul Național
Autor
Curierul Național
Publicat 9 decembrie 2025
Distribuie

Sursa: dnsc.ro

Cercetătorii în domeniul securității cibernetice au descoperit o vulnerabilitate critică cu scor CVSS de 10.0 (Critic), care afectează ecosistemul React și Next.js, permițând execuția de cod la distanță fără autentificare și având un impact sever asupra confidențialității, integrității și disponibilității sistemelor afectate.

CVE-2025-55182 este o vulnerabilitate critică de tip remote code execution în implementarea React Server Components (RSC), care permite unui atacator neautentificat să execute cod arbitrar pe server prin deserializarea nesigură a unor obiecte interne speciale (denumite Chunks) transmise prin intermediul protocolului Flight în cadrul componentelor RSC. 

DETALII TEHNICE

Vulnerabilitatea CVE-2025-55182 este cauzată de o deserializare nesigură a payload-urilor transmise prin protocolul Flight, permițând injectarea de obiecte rău inteționate care pot duce la execuție de cod pe serverul Node.js fără a fi necesară autentificarea prealabilă, afectând inclusiv aplicațiile Next.js care folosesc App Router și RSC.

Exploatarea acestei vulnerabilități poate permite unui atacator neautentificat să execute cod arbitrar pe server, ceea ce poate duce la compromiterea completă a infrastructurii, acces neautorizat la date sensibile stocate sau procesate de aplicație, modificarea sau ștergerea fișierelor critice, manipularea funcționalităților aplicației, instalarea de software periculos, punând în pericol atât confidențialitatea, integritatea și disponibilitatea serviciilor afectate.

VERSIUNI ȘI PACHETE AFECTATE

Google a suspendat o parte din colaborarea cu Huawei, în urma sancțiunilor lui Trump
20 mai 2019

React (CVE-2025-55182)

Versiuni vulnerabile:

  • React RSC 19.0.0, 19.1.0, 19.1.1, 19.2.0.

Pachete vulnerabile:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Next.js (CVE-2025-66478)

TP-Link este producătorul numărul unu în lume în domeniul furnizării de produse Wi-Fi
5 iulie 2021

Versiuni vulnerabile:

- Publicitate -
  • Next.js 15.x
  • Next.js 16.x
  • Canary builds începând cu versiunea 14.3.0 – canary.77 și versiunile ulterioare.

VERSIUNI ȘI PACHETE REMEDIATE

React RSC:

  • 19.0.1 / 19.1.2 / 19.2.1

Next.js:

  • 15.0.5 / 15.1.9 / 15.2.6 / 15.3.6 / 15.4.8 / 15.5.7
  • 16.0.7
  • 15.6.0-canary.58 / 16.1.0-canary.12

RECOMANDĂRI GENERALE

  • Cel mai important pas este actualizarea la cele mai recente versiuni, unde vulnerabilitatea a fost remediata, urmat de rebuild și redeploy pentru toate aplicațiile care folosesc RSC / Next.js.
  • Actualizare Next.js:
    • npm install next@15.0.5 # pentru versiuni 15.0.x
    • npm install next@15.1.9 # pentru versiuni 15.1.x
    • npm install next@15.2.6 # pentru versiuni 15.2.x
    • npm install next@15.3.6 # pentru versiuni 15.3.x
    • npm install next@15.4.8 # pentru versiuni 15.4.x
    • npm install next@15.5.7 # pentru versiuni 15.5.x
    • npm install next@16.0.7 # pentru versiuni 16.0.x
    • npm install next@15.6.0-canary.58 # pentru versiuni 15.x canary
    • npm install next@16.1.0-canary.12 # pentru versiuni 16.x canary
  • Actualizare la cea mai recentă versiune a pluginului RSC:
    • npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
  • Actualizarea pachetelor vulnerabile din package.json:
    • npm install react@latest
    • npm install react-dom@latest
    • npm install react-server-dom-parcel@latest
    • npm install react-server-dom-webpack@latest
    • npm install @vitejs/plugin-rsc@latest
  • Actualizare la cele mai recente versiuni stabile pentru toate componentele și pachetele relevante din ecosistemul Next.js și React Server Components, inclusiv Next.js, React și React DOM, pluginurile RSC pentru Vite, pachetele react-server-dom-parcel, react-server-dom-webpack și react-server-dom-turbopack, precum și orice SDK-uri sau framework-uri auxiliare (React Router, Expo, Redwood SDK, Waku), pentru a asigura remedierea vulnerabilității și compatibilitatea completă între module (vezi și website-ul React).
  • Folosirea scanner-ului npx fix-react2shell-next. Este un instrument care detectează și remediează vulnerabilitatea React2Shell în proiectele Next.js, iar dezvoltatorii sunt sfătuiți să îl ruleze pentru a aplica patch-urile în mod interactiv sau automat folosind –fix, cu posibilitatea de a exporta rezultatele în format JSON pentru a le putea integra în fluxuri de monitorizare.

CONCLUZII

Vulnerabilitatea React2Shell și impactul ei asupra Next.js reprezintă una dintre cele mai grave și recente vulnerabilități într-un ecosistem JS modern. Este ușor de exploatat, are rată de succes foarte mare, și afectează configurații standard folosite de mii de aplicații web.

PSD 2: catalizator sau frână în calea comerțului online?
29 noiembrie 2019

DNSC a identificat mai multe site-uri vulnerabile, care au fost notificate, și continuăm în paralel să căutăm alte instanțe expuse, urmărind procesul de remediere și oferind suport pentru aplicarea măsurilor corective necesare.

Dacă rulați sau administrați aplicații React/Next.js este foarte important să tratați asta ca pe un incident de securitate critic: inventariere, update imediat, verificare și monitorizare.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Distribuie articolul
Facebook Whatsapp Whatsapp LinkedIn Reddit Telegram Email Copy Link Print
Distribuie
Articolul anterior Depozitarul Central va distribui dividende pentru ASCENDIA S.A.
Articolul următor Statul nu pregătește liberalizarea pieței de gaze și favorizează terenul pentru noi scumpiri, ar putea apărea o criză artificială a gazelor
Niciun comentariu

Lasă un răspuns Anulează răspunsul

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-
Ad imageAd image

Ultimele articole

ASF a găzduit delegația chineză NFRA: Teme strategice de reglementare și supraveghere în sectorul financiar nebancar
Finanțe și Bănci
819 înscrieri din 55 de țări la Concursul Internațional George Enescu 2026 – dublu record istoric la ediția aniversară 
Cultură și Educație
Kaspersky avertizează asupra escrocheriilor care vizează achiziționarea de servicii de date
IT

RSS Știri Financiare

  • De ce se consumă tonerul mai repede atunci când imprimi documente grafice color?
  • Cum cumpără românul informat bijuterii fine în 2026
  • Dormitorul care nu îți mănâncă banii: cum alegi mobilierul corect pentru spații mici, fără compromisuri la calitate
  • Startup-urile din România vizează finanțări de 95 milioane euro. AI domină ecosistemul
IT

Primul centru Hi-Tech la Universitatea de Arhitectură și Urbanism „Ion Mincu”, inaugurat de Fundația Globalworth

4 minute
CurierulNational - calculator-Ieftin
IT

Un septembrie perfect, cu o oferta imbatabila de calculatoare si alte dispozitive IT

4 minute
IT

Revoluția din retail: noi date dezvăluie că următoarea generație de consumatori este pregătită pentru inteligența artificială, realitatea augmentată și roboți

5 minute
poza curierulnational
IT

De ce este important ca o firma sa lucreze cu specialisti atunci cand isi promoveaza site-ul pe Internet

4 minute
favicon curierul national favicon curierul national
  • EDIȚIA DIGITALĂ
  • ABONAMENT DIGITAL
  • PUBLICĂ ANUNȚ ÎN ZIAR
  • CONTACTEAZĂ-NE

PUBLICAȚIA

  • Despre noi
  • Publicitate
    • Fonduri Europene
    • Anunțuri Mică Publicitate
    • Advertorial
  • Redacția
  • Contact

ȘTIRI

  • Actualitate
  • Extern
  • Cultură și Educație
  • Politic
  • Sport
  • București

BANI

  • Economie
  • Companii
  • IT
  • Agricultură
  • Energie
  • Fiscalitate
  • Imobiliare
  • Turism

PARTENERI

  • B1 TV
  • Gazeta de Sud
  • Money Buzz!
  • Știrile de Azi
  • Goool.ro
  • Bucharest Daily News
  • Slatina Buzz!

BUN DE AFACERI, DIN 1990

Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?