CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-55182

RCE bez uwierzytelnienia w React Server Components (deserializacja)

CVSS 10.0v3.1pub. 2025-12-03upd. 2025-12-10

Podatność umożliwia zdalne wykonanie kodu (RCE) bez jakiegokolwiek uwierzytelnienia w komponentach React Server Components w wersjach 19.0.0, 19.1.0, 19.1.1 oraz 19.2.0. Jest to podatność krytyczna (CVSS 10.0), aktywnie wykorzystywana w atakach.

Pokaż oryginał (EN)

A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.

🤖 Analiza AI
Jak działa

Podatny kod w pakietach react-server-dom-parcel, react-server-dom-turbopack oraz react-server-dom-webpack niebezpiecznie deserializuje (unsafe deserialization, CWE-502) dane przesyłane w żądaniach HTTP kierowanych do punktów końcowych Server Function. Atakujący nieuwierzytelniony może spreparować złośliwy payload w żądaniu HTTP, który po deserializacji po stronie serwera doprowadzi do wykonania dowolnego kodu. Podatność nie wymaga żadnej interakcji użytkownika ani specjalnych uprawnień, a jej zakres obejmuje przełamanie granic izolacji (Scope: Changed).

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — przejąć poufne dane, zmodyfikować lub zniszczyć zasoby systemu oraz doprowadzić do niedostępności usługi. Ze względu na brak wymogu uwierzytelnienia podatność stanowi bezpośrednie zagrożenie dla każdej publicznie dostępnej aplikacji opartej na React Server Components w podatnych wersjach.

Mitygacja

Należy niezwłocznie zaktualizować pakiety react-server-dom-parcel, react-server-dom-turbopack oraz react-server-dom-webpack do wersji zawierającej poprawkę bezpieczeństwa, zgodnie z oficjalnym komunikatem opublikowanym przez React pod adresem https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu do punktów końcowych Server Function na poziomie firewall lub reverse proxy.

Kogo dotyczy

React Server Components w wersjach 19.0.0, 19.1.0, 19.1.1 oraz 19.2.0, w tym pakiety: react-server-dom-parcel, react-server-dom-turbopack oraz react-server-dom-webpack. Dotyczy projektów opartych na Vercel Next.js oraz Facebook React korzystających z tych pakietów.

Uwagi

Podatność została opublikowana 3 grudnia 2025 r. wraz z oficjalnym wpisem na blogu React. AWS opublikował dedykowany wpis ostrzegający przed jej aktywnym wykorzystywaniem.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Facebook React

    APP
    Facebook
    19.0.019.1.019.1.119.2.0
  • Vercel Next.js

    APP
    Vercel
    14.3.015.6.016.0.015.3.0 – 15.3.6 (bez)15.4.0 – 15.4.8 (bez)15.5.0 – 15.5.7 (bez)16.0.0 – 16.0.7 (bez)15.2.0 – 15.2.6 (bez)15.1.0 – 15.1.9 (bez)15.0.0 – 15.0.5 (bez)

CISA KEV — szczegółyi

Dostawcai
Meta
Produkti
React Server Components
Data dodania do KEVi
5 grudnia 2025
Termin remediation (USA)i
12 grudnia 2025(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, przestrzegaj odpowiednich wytycznych BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Meta React Server Components zawiera lukę zdalnego wykonania kodu, która mogłaby umożliwić nieuwierzytelnione zdalne wykonanie kodu poprzez wykorzystanie wady w sposobie, w jaki React dekoduje payloady wysyłane do punktów końcowych React Server Function. Pamiętaj, że CVE-2025-66478 zostały odrzucone, ale jest powiązane z CVE-2025-55182.

tłumaczenie AI
Pokaż oryginał (EN)

Meta React Server Components contains a remote code execution vulnerability that could allow unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints. Please note CVE-2025-66478 has been rejected, but it is associated with CVE-2025- 55182.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 12 grudnia 2025
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2025-29927CRITICAL9.1PL ✓ten sam produkt

Pominięcie autoryzacji w middleware Next.js przez nagłówek x-middleware-subrequest

CVE-2026-44573HIGH7.5ten sam produkt

Next.js is a React framework for building full-stack web applications. From 12.2.0 to before 15.5.16 and 16.2....

CVE-2026-44575HIGH7.5ten sam produkt

Next.js is a React framework for building full-stack web applications. From 15.2.0 to before 15.5.16 and 16.2....

CVE-2026-44574HIGH8.1ten sam produkt

Next.js is a React framework for building full-stack web applications. From 15.4.0 to before 15.5.16 and 16.2....

CVE-2026-44578HIGH8.6ten sam produkt

Next.js is a React framework for building full-stack web applications. From 13.4.13 to before 15.5.16 and 16.2...

CVE-2025-55182 — RCE bez uwierzytelnienia w React Server Components (deserializacja) — CRITICAL 10.0 | CVEbaza.pl