CVE-2025-55182 у React та CVE-2025-66478 у Next.js: що нова вразливість RCE насправді означає для вебу

Головна » Python » CVE-2025-55182 у React та CVE-2025-66478 у Next.js: що нова вразливість RCE насправді означає для вебу

Протягом останніх кількох днів команди безпеки по всьому світу докладали зусиль, щоб оцінити пару нещодавно виявлених помилок в екосистемі React: CVE-2025-55182 у компонентах React Server та CVE-2025-66478 у Next.jsЦі недоліки відкривають шлях до повноцінного віддаленого виконання коду на серверах і викликали тривогу, оскільки їх можна активувати без автентифікації та з дуже незначними зусиллями з боку зловмисника.

Ця проблема зачіпає ядро ​​сучасної інфраструктури JavaScript. React та Next.js забезпечують роботу всього: від невеликих сторонніх проектів до платформ, що використовуються великими підприємствами, і значна частина хмарних робочих навантажень залежить від них. Дослідники попереджають... неминуча масова експлуатація та майже ідеальна надійність експлойтівКомандам розробників та операцій рекомендується зробити встановлення виправлень пріоритетним завданням.

Що насправді являють собою CVE-2025-55182 та CVE-2025-66478

В основі проблеми лежить Протокол «Flight» компонентів React Server (RSC), механізм, запроваджений для обробки потоків рендерингу, керованих сервером. CVE-2025-55182 – це ідентифікатор, призначений вразливості у власному коді React. react-server пакет, поки CVE-2025-66478 охоплює відповідний недолік у Next.js., який вбудовує та розширює цей протокол.

Вразливість, по суті, є помилка логічної десеріалізації в процесі обробки корисних навантажень RSCКоли сервер отримує спеціально створене, некоректне корисне навантаження Flight, реалізація не може ретельно перевірити структуру, перш ніж реагувати на неї. Цей недолік дозволяє даним, контрольованим зловмисником, потрапляти в місця, де вони можуть впливати на виконання на стороні сервера.

На практиці це означає, що зловмисник може надіслати один створений HTTP-запит до функції React Server або кінцевої точки RSCКоли сервер десеріалізує це корисне навантаження, його можна примусово змусити виконувати довільний код JavaScript з привілеями серверного процесу, перетворюючи простий запит на повноцінне віддалене виконання коду (RCE).

Команди безпеки та постачальники описують обидві CVE як такі, що мають максимальний бал за шкалою CVSS 10.0, найвищий можливий рейтинг. Це відображає поєднання віддаленої досяжності, відсутності вимог до автентифікації та можливості повного компрометування ураженого середовища.

Чому налаштовуються конфігурації за замовчуванням

Одна деталь, яка викликала особливе занепокоєння, полягає в тому, що ці помилки впливають стандартні налаштування без незвичайної конфігураціїТиповий додаток Next.js, згенерований за допомогою create-next-app, скомпільовані для продакшену та розгорнуті з параметрами за замовчуванням, можуть бути вразливими одразу після встановлення.

Те саме стосується й багатьох інших Фреймворки та інструменти з підтримкою RSC, що об'єднують react-server реалізаціяОскільки вони прийняли протокол Flight таким, як його розробляв React, вони успадкували небезпечну поведінку десеріалізації. Розробникам не потрібно додавати жодних екзотичних функцій чи власну логіку парсингу, щоб цю вразливість можна було використати.

Такий рівень ризику за замовчуванням підвищує ризик того, що зловмисники можуть сканувати інтернет на наявність кінцевих точок RSC або Server Function і швидко натрапляють на життєздатні цілі. Немає потреби у викрадених облікових даних чи вже існуючому доступі: якщо відповідні кінцеві точки доступні через публічний Інтернет і використовують вразливі версії, вони знаходяться в небезпечній зоні.

Дослідники безпеки наголошують, що навіть організації з розвиненими програмами безпеки можуть постраждати, оскільки RSC часто вмикається неявно через оновлення фреймворку та шаблони., і деякі команди можуть не усвідомлювати, що використовують його у виробництві.

Масштаб впливу на екосистеми React та Next.js

Численні аналізи сходяться до одного висновку: масштаб потенційного радіуса вибуху надзвичайно великий. Дані Wiz Research свідчать про те, що близько Від 39% до 40% хмарних середовищ містять екземпляри React або Next.js, вразливі до CVE-2025-55182 та/або CVE-2025-66478.Це значна частина прикладного рівня публічного Інтернету.

Проблема не обмежується окремими інсталяціями React. Next.js, зокрема, надзвичайно поширений: він зустрічається майже в 69% спостережуваних середовищ у деяких наборах даних, і більшість з них використовують публічно доступні додатки Next.js. Це поєднання означає, що значна частина хмарних ресурсів безпосередньо піддає вразливі кінцеві точки ненадійному трафіку.

Що стосується конкретних компонентів, то проблема впливає Реакція 19.0, 19.1.0, 19.1.1 та 19.2.0 серії, що містять недоліки react-server впровадження. Що стосується фреймворку, то також задіяні кілька популярних інструментів, що інтегрують RSC. Хоча точний вплив різниться, список технологій, пов'язаних з вразливим протоколом, включає:

• Next.js
• Плагін Vite RSC (@vitejs/plugin-rsc)
• Плагін RSC для посилок (@parcel/rsc)
• Попередній перегляд React Router RSC
• RedwoodSDK
• Ваку

На цьому наголошують дослідники будь-який фреймворк або бібліотека, що об'єднує уражені react-server реалізація ймовірно, буде включено до сфери застосування, навіть якщо це не зазначено прямо в попередніх рекомендаціях. Організаціям рекомендується провести інвентаризацію використання RSC у всіх інструментах збірки, попередніх версіях та пілотних проектах, а не лише у виробничих додатках з високим трафіком.

Постачальники хмарних послуг також почали реагувати. Наприклад, один постачальник зазначив, що його стандартні публічні образи ОС для віртуальних машин не постачаються з увімкненими вразливими компонентами React за замовчуванням., хоча це не захищає робочі навантаження, коли клієнти самостійно встановлюють та налаштовують React або Next.js.

Як працює експлуатація та чому надійність така висока

Хоча постачальники навмисно приховують деякі деталі низькорівневої експлуатації, щоб дати захисникам час на встановлення виправлень, загальний план є загальнодоступним. На високому рівні зловмиснику потрібно лише створити HTTP-запит, який містить певне некоректне корисне навантаження RSC спрямований на кінцеву точку сервера, яка аналізує дані React Flight.

Оскільки шлях до вразливого коду є частиною стандартної логіки десеріалізації, жертві не потрібно натискати на що-небудь, входити в систему або виконувати багатоетапний робочий процес. Доки зловмисник може досягти кінцевої точки серверної функції або RSC, він може спробувати запускати небезпечну десеріалізацію та спрямовувати виконання до власного корисного навантаження.

Під час тестування команди безпеки повідомили, що експлойт показав «висока точність», з показниками успіху, що наближаються до 100% після того, як конфігурація цілі була зрозуміла. Така надійність є рідкістю для віддалених експлойтів і підвищує ймовірність того, що зловмисники зможуть автоматизувати сканування та компрометувати систему у великих масштабах.

Експерти також попереджають, що Опубліковані патчі та рекомендації фактично слугують дорожньою картою для зворотного проектування.Навіть якщо код експлойту ще не був широко опублікований, зловмисники можуть вивчити відмінності між вразливими та виправленими версіями, щоб реконструювати логіку вразливості та використати її як зброю, подібно до riesgo a la. каденція міністра npm.

Станом на останні звіти, не було підтверджених випадків широкомасштабного використання шкідливих програм у реальному часі, але багато постачальників рішень безпеки та дослідників очікують, що це швидко зміниться. Зловмисники намагаються скористатися перевагами непатчених систем перш ніж організації завершать свої заходи з відновлення.

Відповіді постачальників та доступні патчі

Відкриття CVE-2025-55182 приписують дослідник безпеки Лахлан Девідсон, який повідомив про проблему через програму винагороди за виявлення помилок Meta. Від першого розкриття інформації до випуску патчів процес усунення помилки був надзвичайно швидким, що відображає серйозність помилки та її поширення в веб-екосистемі.

Команда React відправила захищені версії уражених пакетівДля основної бібліотеки розробники вказують на оновлення, такі як React. 19.0.1, 19.1.2 і 19.2.1 та еквівалентні виправлені варіанти пов'язаних компонентів, що закривають специфічну діру десеріалізації в протоколі Flight.

З боку каркасу, Vercel, яка підтримує Next.js, отримала CVE-2025-66478. до впливу тієї ж уразливості RSC та випустила оновлені версії Next.js, які включають виправлену поведінку компонентів React Server. У їхній рекомендації щодо безпеки пояснюється, що вразливість випливає зі способу, яким React декодує корисні навантаження, що прямують до Кінцеві точки функцій сервера і що патч покращує ці процедури декодування.

Інші фреймворки та автори плагінів, що покладаються на RSC, такі як розробники плагінів Redwood, Waku та RSC для Vite та Parcel, почали випускати... власні інструкції та оновлення версій, узгоджені з виправленими react-server кодКористувачам рекомендується дотримуватися оголошень та інструкцій щодо оновлення, пов’язаних із конкретним проектом.

Кілька постачальників комерційних послуг безпеки також відреагували. Наприклад Wiz опублікував попередньо складений запит та рекомендації у своєму Центрі загроз, щоб клієнти могли виявляти вразливі екземпляри у своїх середовищах, тоді як інші постачальники стверджують, що деякі брандмауери веб-застосунків можуть блокувати деякі спроби експлойту якщо трафік React правильно маршрутизується через них. Тим не менш, розробники чітко усвідомлюють, що налаштування конфігурації або правила WAF не замінюють належного встановлення патчів.

Оцінка ризиків: хто має найбільше хвилюватися?

Коротка відповідь така будь-яка організація, яка використовує React 19 або RSC-залежні фреймворки у продакшені слід поставитися до цього серйозно, але деякі шаблони розгортання виділяються як особливо вразливі. Наприклад, публічно орієнтовані додатки Next.js є спокусливою ціллю, оскільки вони часто розташовуються безпосередньо в Інтернеті та мають функції RSC увімкнені за замовчуванням.

Організації, які активно використовують Функції сервера, маршрутизація на основі сервера, попередні версії або експериментальні функції на основі RSC особливо піддаються ризику. У таких умовах корисні навантаження Flight частіше обробляються, що дає зловмисникам багато можливостей для тестування корисних навантажень та вдосконалення експлойтів.

Спільні або багатокористувацькі середовища викликають додаткові занепокоєння. Якщо вразливий сервіс React працює з широким доступом до внутрішніх ресурсів, успішний RCE може стати поворотним моментом для горизонтального просування вглиб мережі або за межі клієнтів.

Аналітики також зазначають, що широта впровадження React — такими компаніями, як Meta, Netflix, Airbnb, Shopify, Walmart та багатьма іншими—означає, що реальний вплив не обмежується суто технічними розрахунками ризиків. Компрометація в основному стеку додатків може мати хвильовий ефект для користувачів, партнерів та екосистем нижче за течією.

Зрештою, навіть команди, які вважають, що вони не сильно покладаються на RSC, повинні перевірити це припущення. Інструменти та шаблони можуть непомітно вмикати функції RSCдеякі проекти можуть бути більш вразливими, ніж їхні розробники усвідомлюють на перший погляд.

Практичні кроки щодо зменшення наслідків для користувачів React та Next.js

У всіх рекомендаціях послідовно повторюється один пункт: оновлення до виправлених версій – єдине остаточне виправленняНемає жодного прапорця конфігурації чи незначного налаштування, яке б повністю нейтралізувало небезпечну поведінку десеріалізації без оновлення уражених пакетів.

Для організацій, які безпосередньо використовують React, розробники рекомендують перехід на захищені релізи, такі як 19.0.1, 19.1.2, 19.2.1 або новіші, разом з оновленими react-server та пов'язані пакети RSCКомандам слід звернутися до офіційної рекомендації щодо безпеки React, щоб підтвердити точні версії, що стосуються CVE-2025-55182 у своєму дереві залежностей.

Проекти Next.js повинні аналогічно оновлення до виправлених версій фреймворку, що містять виправлення для CVE-2025-66478Оскільки збірки Next.js за замовчуванням достатньо, щоб це вплинуло, навіть невеликі сайти та внутрішні панелі інструментів заслуговують на увагу, а не лише флагманські програми.

Для середовищ, що використовують інші фреймворки з підтримкою RSC, такі як Redwood, Waku або плагіни RSC для таких пакувальників, як Vite та Parcel, рекомендується уважно відстежуйте оголошення постачальників та розгортайте будь-які оновлення, що об'єднують захищені react-server реалізація як тільки вони стануть доступними. Де це можливо, слід використовувати проміжні середовища для перевірки поведінки програми перед впровадженням виправлень у виробництво та застосовувати їх практично так, як це можливо. gestión segura de secretos en GitHub Actions.

Паралельно з встановленням патчів, команди безпеки можуть сканування на наявність вразливих версій та відкритих кінцевих точокІнструменти від таких постачальників, як Wiz, можуть допомогти визначити, де працюють вразливі екземпляри React або Next.js, тоді як сканери веб-безпеки та інвентаризації активів можуть відображати, які сервіси доступні з Інтернету, а які не обмежені внутрішніми мережами.

На що захисникам варто звернути увагу найближчим часом

Розкриття CVE-2025-55182 та CVE-2025-66478 ілюструє знайому закономірність: з'являється критична помилка в широко використовуваному компоненті, швидко з'являються патчі, а потім починається гонка між захисниками та зловмисниками. У цьому випадку комбінація… 10.0 балів за шкалою CVSS, неавтентифікований RCE та експозиція за замовчуванням робить ці перегони особливо напруженими.

Дослідники безпеки очікують, що наступний етап включатиме швидке зворотне проектування патчів зловмисниками. Навіть без оприлюднення детального коду для підтвердження концепції, порівняння старих і нових версій дає достатньо підказок для досвідчених зловмисників, щоб відтворити вразливу логіку.

Організаціям слід очікувати зростання сканування кінцевих точок React та Next.js, а також більш ретельні HTTP-запити, спрямовані на URL-адреси серверних функцій та RSC. Системи реєстрації та моніторингу можуть відігравати тут певну роль: аномальні або неправильно сформовані корисні навантаження Flight, неочікувані помилки під час десеріалізації та сплески запитів до певних кінцевих точок можуть бути ранніми ознаками спроби експлуатації, та інструменти тестування, як-от Співробітник Burp pueden ayudar a reproducir vectores.

Деякі захисники також повертаються глибоко ешелонований захист навколо своїх розгортань React. Це може включати маршрутизацію трафіку через брандмауери веб-застосунків, посилення мережевого впливу внутрішніх служб та забезпечення суворіших конфігурацій найменших привілеїв для дозволів виконання застосунків, щоб компрометація не надавала автоматично широкий доступ.

Групам реагування на інциденти рекомендується підготуватися до потенційних розслідувань, пов'язаних з цими злочинами, пов'язаними з кримінальним насильствомЦе може включати оновлення правил, забезпечення зберігання відповідних журналів протягом достатньо тривалого часу для аналізу підозрілої поведінки та встановлення контактів з постачальниками послуг або постачальниками засобів безпеки, які можуть допомогти у разі підозри на компрометацію.

Дослідники, постачальники та хмарні провайдери погоджуються, що хоча публічного підтвердження широкого використання цієї технології ще не було, технічні умови роблять її привабливою ціллю. очікування на встановлення патчу значно збільшує вікно ризику.

З огляду на критичні помилки віддаленого виконання коду, такі як CVE-2025-55182 в React та CVE-2025-66478 в Next.js, практичний висновок простий: припустити, що вразливі кінцеві точки RSC будуть перевірені, пріоритезувати оновлення до захищених версій та використовувати доступні інструменти для виявлення та захисту вразливих екземплярів.Для веб-стеку, який значною мірою спирається на React та навколишні фреймворки, своєчасне виправлення зараз, ймовірно, окупиться за рахунок меншої кількості надзвичайних ситуацій пізніше.