- Нові недоліки в компонентах React Server, CVE-2025-55183 та CVE-2025-55184, призводять до викриття вихідного коду та відмови в обслуговуванні.
- Обидві проблеми стосуються певних версій 19.x пакетів react-server-dom-parcel, -turbopack та -webpack.
- Команда Meta з React випустила виправлені версії 19.0.3, 19.1.4 та 19.2.3 і закликає до швидкого оновлення.
- Помилки були виявлені під час стрес-тестування попередніх патчів React2Shell (CVE-2025-55182), що свідчить про ретельне вивчення поверхні атаки RSC.
Два нещодавно виявлені вразливості в компонентах React Server (RSC) знову звернули увагу на безпеку сучасних JavaScript-бекендів. Відстежується як CVE-2025-55183 та CVE-2025-55184Ці недоліки не дозволяють пряме віддалене виконання коду, але вони все одно можуть спричинити серйозні збої через відмову в обслуговуванні та небажане розкриття вихідного коду серверної частини, якщо їх використовувати за певних умов.
Ці помилки з'явилися як частина ширшого перевірка безпеки, спричинена критичною проблемою React2Shell (CVE-2025-55182), яка вже активно використовувалася в реальних умовах. Хоча нові вразливості менш серйозні, ніж попередня вразливість CVSS версії 10.0, вони підкреслюють, що після того, як критична помилка стає публічною, дослідники та зловмисники заглиблюються в неї. суміжні шляхи коду RSC, що шукають варіанти методів атаки.
Передумови: Від React2Shell до нових вразливостей RSC
Коли захисники та команда React розгорнули засоби пом'якшення для React2Shell, дослідники безпеки почали досліджувати оновлений код, щоб перевірити, чи можна виправити ці проблеми. обійдено або розширено на нові примітиви експлойтівЦей процес є стандартною практикою в галузі: після виправлення критичної вразливості сусідня логіка та інтерфейси ретельно перевіряються на наявність схожих шаблонів.
Саме під час цього подальшого дослідження було задокументовано три пов'язані помилки RSC: проблема відмови в обслуговуванні (CVE-2025-55184), подальше неповне виправлення з таким самим впливом (CVE-2025-67779) та слабкість розкриття інформації (CVE-2025-55183). Хоча CVE-2025-67779 також стосується безпеки RSC, основна увага зараз зосереджена на розумінні нещодавно детально описана поведінка та вплив CVE-2025-55183 та CVE-2025-55184.
Поряд з цим технічним аналізом, фахівці з реагування на інциденти спостерігали розвиток ланцюжків експлойтів навколо React2Shell, де зловмисники поєднують RCE з корисними навантаженнями після експлуатації та горизонтальним переміщенням. Ця постійна активність підвищує терміновість для організацій реагування на інциденти. усі пов'язані вразливості RSC, включаючи CVE-2025-55183 та CVE-2025-55184, як частину єдиної поверхні атаки, що розвивається а не окремі помилки.
Виявлення та відповідальне розкриття цих проблем демонструє, як ширша спільнота безпеки, інженери постачальників та мисливці за головами за помилки співпрацювати для посилення широко використовуваних фреймворків, таких як React, навіть коли супротивники намагаються перетворити ті самі компоненти на зброю.
Технічні деталі CVE-2025-55184: Відмова в обслуговуванні у функціях сервера
CVE-2025-55184 описується як вразливість відмови в обслуговуванні (DoS) перед автентифікацією що впливає на компоненти React Server. Корінь проблеми полягає в тому, як певні пакети RSC обробляють десеріалізація корисних навантажень із HTTP-запитів орієнтація на кінцеві точки функцій сервера.
У вразливих версіях спеціально створені запити можуть спрацьовувати небезпечна логіка десеріалізації, яка потрапляє в нескінченний циклПісля активації цього циклу процес, що обробляє функцію сервера, фактично зависає, що призводить до стану, коли програма більше не може обслуговувати наступний HTTP-трафік або надійно відповідати.
Вплив особливо тривожний, оскільки недоліком можна скористатися перш ніж буде застосовано будь-яку автентифікаціюІншими словами, зловмиснику не потрібні дійсні облікові дані чи підвищені привілеї для спроби експлуатації; потоку шкідливих запитів достатньо, щоб зв’язати ресурси сервера та потенційно вивести сервіс на базі RSC з ладу.
Згідно з опублікованою оцінкою, CVE-2025-55184 має Базовий бал за шкалою CVSS 7.5, що відносить його до категорії високого рівня серйозності. Хоча він не пропонує самостійного виконання коду, надійний примітив DoS проти ключової частини бекенд-стеку все ще може призвести до ризики доступності, порушення угод про рівень обслуговування та вплив на бізнес-процеси, що виникають у результаті операцій з подальшими операціями.
Під час процесу встановлення патчів, окремий ідентифікатор, CVE-2025-67779, було призначено неповному виправленню цієї проблеми. Це подальше CVE стосується залишкових шляхів, які все ще спричиняли той самий ефект відмови в обслуговуванні, підкреслюючи, як Виправлення складних помилок десеріалізації може вимагати кількох ітерацій для охоплення кожного граничного випадку.
Технічні деталі CVE-2025-55183: Викриття вихідного коду через спеціально створені запити
Де CVE-2025-55184 зосереджений на доступності, CVE-2025-55183 стосується конфіденційностіЦя вразливість характеризується як Витік інформації в компонентах React Server що може призвести до повернення вихідного коду певних функцій сервера віддаленому клієнту.
У вразливих випусках ретельно розроблений HTTP-запит, надісланий до вразливої серверної функції, може викликати поведінку, коли сервер відповідає базовим кодом будь-якої цільової функції сервераТакий вид витоку може розкрити деталі реалізації, бізнес-логіку, жорстко закодовані рядки або іншу конфіденційну інформацію, яку організації зазвичай зберігають виключно на стороні сервера.
Однак, використання CVE-2025-55183 обмежене певною передумовою: має бути присутнім хоча б один Серверна функція, інтерфейс якої надає аргумент, перетворений у рядковий формат, явно чи неявно. Тільки коли цей шаблон існує у використанні RSC застосунком, вразливість стає доступною для потенційного зловмисника.
Призначення рейтингів безпеки оцінка CVSS 5.3 за шкалою CVE-2025-55183, що відносить його до діапазону середнього ступеня серйозності. Навіть за таких умов розкриття вихідного коду може бути далеко не нешкідливим. Знання внутрішніх назв функцій, параметрів, обробки помилок та потоків даних може допомогти супротивникам розробляти більш адаптовані атаки, виявляти приховані слабкі місця та розробляти фішингові або соціальні інженерні методи, які ближче відповідають реальній поведінці системи.
Окрім будь-якої безпосередньої цінності використання, видимість, отримана завдяки витоку коду серверних функцій, може ефективно перетворити застосунок на самостійний план майбутніх спроб вторгнення, особливо в середовищах, де однакові закономірності з’являються в кількох сервісах.
Пакети та версії, на які це впливає, в екосистемі React RSC
Нещодавно задокументовані вразливості впливають на низку Пакети інтеграції компонентів React Server, зокрема реалізації, що підключають RSC до інструментів збірки та виконання. Задіяні модулі:
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Як для CVE-2025-55184, так і для CVE-2025-55183 уражені версії охоплюють кілька випусків 19.x. Набір вразливих елементів включає 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 і 19.2.1Команди розробників, які запускають ці версії у продакшені або підготовчому режимі, повинні припускати, що їхні екземпляри може бути вразливим до відмови в обслуговуванні або витоку вихідного коду якщо піддається впливу ненадійного трафіку.
Крім того, неповне виправлення, представлене як CVE-2025-67779 впливає на версії 19.0.2, 19.1.3 і 19.2.2Хоча цей ідентифікатор пов’язаний з тим самим типом DoS-поведінки, що й CVE-2025-55184, він вказує на те, що навіть оновлені середовища можуть залишатися частково незахищеними, якщо вони потраплять на ці проміжні випуски.
Діапазон версій, на які вплинуло, демонструє, як Швидкий цикл ітерацій RSC може ускладнити керування виправленнями. Організації, які оновлюються епізодично або закріплюють певні проміжні версії, можуть не усвідомлювати, що щойно досягнута версія потрапляє в період, на який поширюються виправлення, що робить ретельний аудит версій є важливим.
З огляду на популярність екосистеми React та зростаюче впровадження серверних компонентів для підвищення продуктивності та зручності розробників, пул програм, яких потенційно торкнуться CVE-2025-55183 і CVE-2025-55184 ймовірно, охоплюватиме широкий спектр галузей та моделей розгортання.
Виправлені версії та рекомендований шлях оновлення
Щоб усунути вразливості, команда React випустила виправлені версії для всіх трьох уражених пакетів RSCКористувачам рекомендується якомога швидше перейти на такі виправлені випуски:
- 19.0.3
- 19.1.4
- 19.2.3
За словами розробників, ці оновлення повністю усунути проблему відмови в обслуговуванні, що виникла внаслідок CVE-2025-55184 та пов'язаного з ним CVE-2025-67779, а також ризик розкриття інформації, описаний у CVE-2025-55183. Важливо, що попередній вектор React2Shell (CVE-2025-55182) також блокується ширшим набором патчів, випущених у гілках 19.x.
Командам, відповідальним за розгортання у виробничому середовищі, рекомендується ставитися до цього як до завдання з технічного обслуговування високого пріоритету, особливо враховуючи активне дослідження вразливостей RSC як законними дослідниками, так і ворожими суб'єктами. Там, де негайне розгортання останньої другорядної лінії неможливе, організації повинні як мінімум забезпечити вони не застрягли на жодній із перелічених уразливих збірок.
Як завжди, оновлення бібліотек має йти пліч-о-пліч із тестування та поетапне розгортанняДодавання регресійних перевірок критичних функцій сервера, моніторинг рівня помилок після оновлення та перегляд журналів на наявність незвичайної активності десеріалізації або серіалізації можуть допомогти забезпечити належну поведінку нових версій в умовах реального трафіку.
Швидка доступність патчів підкреслює позицію команди React, що численні раунди розкриття інформації не обов'язково є ознакою невдалого виправлення, а радше цикл здорової реакції, де глибина захисту з часом покращується оскільки виявляється та вирішується більше граничних випадків та варіантів шляхів.
Як було виявлено та повідомлено про вразливості
Нещодавно задокументовані недоліки відображають постійну співпрацю між незалежні дослідники безпеки та програма винагород за виявлення помилок MetaПроблеми з відмовою в обслуговуванні, CVE-2025-55184 та наступний CVE-2025-67779, були повідомлені RyotaK і Shinsaku Nomura, який здобув визнання за виявлення того, як шкідливі корисні навантаження можуть призвести до невідповідності RSC.
Вразливість до витоку інформації, CVE-2025-55183, було розкрито Ендрю Макферсон, який виділив умови, за яких серверна функція може повертати власний вихідний код, коли їй пред'явлено ретельно сформований HTTP-запит.
Ці висновки з'явилися, коли дослідники активно намагалися стрес-тестування існуючих засобів пом'якшення для CVE-2025-55182Роблячи це, вони ефективно відтворили аналітичну роботу, яку могли б виконувати зловмисники, але в рамках відповідальної звітності та скоординованого розповсюдження патчів.
Команда React публічно визнала, що такі шаблони є типово для всієї індустрії програмного забезпечення, не лише в екосистемі JavaScript. Щойно критична помилка привертає увагу, розробники та противники шукають її «варіантні» стратегії експлуатації вздовж сусідніх шляхів коду, іноді виявляючи раніше непомічені слабкі місця.
Шляхом оперативного та прозорого вирішення проблем CVE-2025-55183, CVE-2025-55184 та CVE-2025-67779, розробники прагнуть… випереджати потенційне розповсюдження озброєння водночас надаючи організаціям чіткі вказівки щодо того, як захистити свої розгортання компонентів React Server.
Контекст ризику: чому помилки, що не пов'язані з RCE, все ще мають значення
Навіть якщо ці нові вразливості самі по собі не надають зловмиснику можливості безпосереднього віддаленого виконання коду, їх все одно можна високоякісні інструменти в ширшому комплекті для захисту від вторгненняУразливість типу «відмова в обслуговуванні», така як CVE-2025-55184, може бути використана для порушення операцій, дії як димова завіса, що відволікає захисників, або для дослідження стійкості інфраструктури організації до надмірного навантаження.
Паралельно, вектор впливу вихідного коду, такий як CVE-2025-55183 може допомогти розвідувальним зусиллямДоступ до внутрішнього тексту серверних функцій може розкрити, як автентифіковані запити, які параметри впливають на доступ до бази даних, як обробляються помилки та де інтегровані сторонні служби. Така видимість безцінна для зловмисників, які намагаються планувати точніші або приховані спроби експлуатації.
У середовищах, які вже стикаються з наслідками React2Shell (CVE-2025-55182), ці додаткові слабкі місця збільшують складність загального ландшафту загроз. Захисники змушені враховувати не лише негайне запобігання ризикованим випадкам, але й стабільність та конфіденційність поведінки RSC під впливом зловмисних факторів.
З точки зору управління, ця ситуація підкреслює, чому Програми управління вразливостями повинні виходити за рамки гучних балів CVSS 10.0Помилки середнього та високого ступеня серйозності, що впливають на доступність та розкриття інформації, все ще можуть бути ключовими, особливо в поєднанні з іншими методами в реалістичному ланцюжку атак.
Зрештою, ці події підтверджують ідею про те, що підтримка безпечного розгортання RSC не є одноразовим заходом. Це радше безперервний процес виправлення, моніторинг, тестування та перевірка того, як розроблені та надаються функції сервера через деякий час.
Оскільки пил навколо надзвичайної ситуації React2Shell та пов'язаних з нею відкриттів осідає, організації, які використовують компоненти React Server, змушені... переглянути версії залежностей, посилити захист серверних інтерфейсів та швидко реагувати на рекомендації щодо безпеки вищезгаданих розробниківСлідкуючи за останніми виправленими випусками та інтегруючи перевірки безпеки у свої робочі процеси розробки, команди можуть значно зменшити вікно можливостей для зловмисників, які націлені на вразливості CVE-2025-55183, CVE-2025-55184 та пов'язані з ними RSC.
