Bol odhalený bezpečnostný problém najvyššej závažnosti v React Server Components (RSC), ktorý môže po úspešnom zneužití viesť k vzdialenému spusteniu kódu.
Zraniteľnosť, označená ako CVE-2025-55182, má skóre CVSS 10.0. Získala kódové meno React2shell.
Umožňuje „neautentizované vzdialené spustenie kódu zneužitím chyby v tom, ako React dekóduje payloady posielané na React Server Function endpointy,“ uviedol React tím vo varovaní vydanom dnes.
„Aj keď vaša aplikácia neimplementuje žiadne React Server Function endpointy, stále môže byť zraniteľná, pokiaľ podporuje React Server Components.“
Podľa cloudovej bezpečnostnej firmy Wiz ide o typ logickej deserializácie, ktorý vzniká kvôli nesprávnemu spracovaniu RSC payloadov. Výsledkom je, že neautentizovaný útočník môže vytvoriť škodlivú HTTP požiadavku na ktorýkoľvek Server Function endpoint, ktorá po deserializácii v Reacte umožní vykonanie ľubovoľného JavaScript kódu na serveri.
„Problém vyplýva z nebezpečnej manipulácie so serializovanými payloadmi v protokole React Flight,“ uviedla spoločnosť Aikido zameraná na bezpečnosť softvérových dodávateľských reťazcov. „Nesprávne alebo úmyselne vytvorené payloady môžu ovplyvniť správanie na strane servera neželaným spôsobom. Opravené verzie Reactu obsahujú prísnejšiu validáciu a posilnené správanie pri deserializácii.“
Zraniteľnosť ovplyvňuje verzie 19.0, 19.1.0, 19.1.1 a 19.2.0 nasledujúcich npm balíkov:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Chyba bola opravená vo verziách 19.0.1, 19.1.2 a 19.2.1. Za objavenie a nahlásenie chyby spoločnosti Meta bol ocenený bezpečnostný výskumník z Nového Zélandu Lachlan Davidson, ktorý ju objavil 29. novembra 2025. Sociálna sieť pôvodne vytvorila a udržiavala knižnicu React predtým, ako ju v októbri 2025 presunula pod React Foundation.
Treba poznamenať, že zraniteľnosť tiež ovplyvňuje Next.js využívajúci App Router. Problém bol pôvodne označený aj ako CVE-2025-66478 (CVSS 10.0), no NIST NVD ho neskôr odmietol ako duplicitný z CVE-2025-55182. Ovplyvnené verzie sú:
- Next.js >=14.3.0-canary.77,
- >=15,
- >=16
Opravené verzie sú:
16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5
Akákoľvek knižnica, ktorá balí RSC, pravdepodobne bude touto zraniteľnosťou dotknutá. Patria sem napríklad:
Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodJS a Waku.
Spoločnosti Endor Labs, Miggo Security a VulnCheck zdôraznili, že na zneužitie chyby nie je potrebné žiadne špeciálne nastavenie a že je zneužiteľná bez prihlásenia a cez HTTP.
„Útočník potrebuje len sieťový prístup na odoslanie špeciálne vytvorenej HTTP požiadavky na akýkoľvek Server Function endpoint,“ uviedla firma Endor Labs. „Zraniteľnosť ovplyvňuje predvolené konfigurácie frameworkov, čo znamená, že bežné nasadenia sú okamžite zneužiteľné bez špeciálnych podmienok.“
Kým budú môcť byť aplikované opravy, odporúča sa nasadiť pravidlá Web Application Firewallu (WAF), ak sú dostupné, monitorovať HTTP prevádzku na Server Function endpointoch pre akékoľvek podozrivé alebo nesprávne formátované požiadavky a zvážiť dočasné obmedzenie sieťového prístupu k zasiahnutým aplikáciám.
Poskytovateľ infraštruktúry Cloudflare oznámil, že do svojho cloudového WAF riešenia nasadil novú ochranu adresujúcu CVE-2025-55182. Uviedol, že všetci zákazníci na bezplatných aj platených plánoch sú chránení „pokým je prevádzka ich React aplikácie proxyovaná cez službu“. Podobné pravidlá nasadili aj Akamai, Amazon Web Services (AWS), Fastly a Google Cloud.
Wiz uviedol, že 39 % cloudových prostredí obsahuje inštancie zraniteľné na CVE-2025-55182 a/alebo CVE-2025-66478. Vzhľadom na závažnosť zraniteľnosti sa odporúča aplikovať opravy čo najskôr.
Justin Moore, senior manažér výskumu hrozieb v Palo Alto Networks Unit 42, uviedol, že bolo identifikovaných viac ako 968 000 serverov bežiacich na moderných frameworkoch ako React a Next.js, čím vytvárajú mimoriadne atraktívnu plochu pre útoky.
„Táto novo objavená chyba je kritickou hrozbou, pretože ide o exploit typu ‚master key‘ — neuspeje tak, že by systém zhodil, ale tak, že zneužije dôveru v prichádzajúce dátové štruktúry,“ povedal Moore. „Systém vykoná škodlivý payload s rovnakou spoľahlivosťou ako legitímny kód, pretože funguje presne podľa zámeru, len na škodlivom vstupe.“
Viac informácií tu:
https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html