Уязвимость в серверных компонентах React
Разработчики JavaScript-библиотеки для создания веб-приложений React сообщили об обнаружении критической уязвимости в серверных компонентах React Server, которая позволяет злоумышленникам удаленно запускать произвольный код на сервере без аутентификации. Уязвимость с десятибалльным рейтингом опасности по шкале CVSS v3 получила идентификатор CVE-2025-55182.
Уязвимость затрагивает сервисы, созданные на основе популярных фреймворков с открытым исходным кодом React Server Components. Проблема связана с тем, как React обрабатывает и декодирует данные, отправляемые на серверные функции (React Server Functions). React Server Functions используются для того, чтобы клиентский код мог вызывать функции, исполняемые на сервере. Запрос, отправленный из браузера, трансформируется в HTTP-запрос к серверной конечной точке, в которой React анализирует полученные данные и вызывает соответствующую функцию. Ошибка была обнаружена именно на этом этапе ‒ при парсинге входящих данных. Атакующий, не проходя аутентификацию, может отправить вредоносный запрос и выполнить свой код на сервере.
Уязвимость была обнаружена 29 ноября исследователем Лахланом Дэвидсоном, информация о ней была передана через программу Meta Bug Bounty. Уже 1 декабря разработчики React подготовили патч и начали работу с затронутыми хостинг-провайдерами и open-source проектами для его проверки, внедрения защитных мер и развертывания исправлений. 3 декабря уязвимость была зафиксирована как CVE-2025-55182 с максимальной оценкой критичности CVSS 10.0, последовало публичное раскрытие информации, исправленные версии React Server Components и Next.js были опубликованы в репозитории NPM.
Уязвимость присутствует в версиях React 19.0.0, 19.1.0, 19.1.1, 19.2.0 и устранена в обновлениях React 19.0.1, 19.1.2 и 19.2.1.
Критическая уязвимость была оперативно использована злоумышленниками, в частности, уже 4 декабря были зафиксированы целенаправленные попытки взлома в отношении трех российских организаций. Как отмечают эксперты, уязвимости такого масштаба неизбежно становятся мишенью для массовых атак.