Didžiausio sunkumo pažeidžiamumas, pavadintas „React2Shell“, „React Server Components“ (RSC) „Flight“ protokole leidžia nuotoliniu būdu vykdyti kodą be autentifikavimo „React“ ir „Next.js“ programose.
Saugumo problema kyla dėl nesaugios deserializacijos. Jai buvo suteiktas 10/10 sunkumo balas ir jam buvo priskirti identifikatoriai CVE-2025-55182 React ir CVE-2025-66478 (CVE atmesta Nacionalinėje pažeidžiamumo duomenų bazėje) Next.js.
Saugumo tyrinėtojas Lachlanas Davidsonas aptiko trūkumą ir pranešė apie tai „React“ lapkričio 29 d. Jis nustatė, kad užpuolikas gali pasiekti nuotolinį kodo vykdymą (RCE), išsiųsdamas specialiai sukurtą HTTP užklausą „React Server Function“ galiniams taškams.
„Net jei jūsų programoje nėra įdiegtų jokių „React Server Function“ galinių taškų, ji vis tiek gali būti pažeidžiama, jei jūsų programa palaiko „React Server Components“ (RCS)“, – įspėja „React“ saugos patarimas.
Paveikti šie numatytosios konfigūracijos paketai:
- react-server-dom-parcel
- react-server-dom-turbopack
- ir react-server-dom-webpack
„React“ yra atvirojo kodo „JavaScript“ biblioteka, skirta kurti vartotojo sąsajas. Jį prižiūri Meta ir plačiai naudoja įvairaus dydžio organizacijos, skirtos priekiniam žiniatinklio kūrimui.
„Next.js“, kurį prižiūri „Vercel“, yra „React“ pagrindu sukurta sistema, kuri prideda serverio atvaizdavimo, maršruto parinkimo ir API galinių taškų.
Abu sprendimai yra plačiai naudojami debesų aplinkoje naudojant priekines programas, kurios padeda greičiau ir lengviau išplėsti ir įdiegti architektūras.
Wiz debesų saugos platformos tyrėjai perspėja, kad pažeidžiamumą lengva išnaudoti ir jis egzistuoja numatytojoje paveiktų paketų konfigūracijoje.
Poveikis ir pataisymai
„React“ teigimu, pažeidžiamumas yra 19.0, 19.1.0, 19.1.1 ir 19.2.0 versijose. Next.js paveikia eksperimentinius canary leidimus, prasidedančius 14.3.0-canary.77, ir visus 15.x ir 16.x šakų leidimus, esančius po pataisytomis versijomis.
Trūkumas yra „React Server“ pakete, kurį naudoja „React Server Components“ (RSC), tačiau „Next.js“ jį paveldi įgyvendindamas RSC „Flight“ protokolą.
„Wiz“ mokslininkai teigia, kad 39 % visų debesų aplinkų, kuriose jie yra matomi, yra Next.js arba React veikiančių versijų, pažeidžiamų CVE-2025-55182, CVE-2025-66478 arba abiejų.
Tas pats pažeidžiamumas greičiausiai egzistuoja ir kitose bibliotekose, kuriose įdiegtas „React Server“, įskaitant „Vite RSC“ papildinį, „Parcel RSC“ papildinį, „React Router RSC“ peržiūrą, „RedwoodSDK“ ir „Waku“.
Programinės įrangos tiekimo grandinės saugos įmonė „Endor Labs“ paaiškina, kad „React2Shell“ „yra logiškai nesaugus deserializacijos pažeidžiamumas, kai serveris nesugeba tinkamai patvirtinti gaunamų RSC naudingųjų krovinių struktūros“.
Gaunant netinkamai suformuotus duomenis iš užpuoliko įvyko patvirtinimo klaida, todėl serverio kontekste vykdomas privilegijuotas JavaScript kodas.
Davidsonas sukūrė „React2Shell“ svetainę, kurioje paskelbs techninę informaciją. Tyrėjas taip pat perspėja, kad yra koncepcijos įrodymo (PoC) išnaudojimų, kurie nėra autentiški.
Šie PoC iškviečia tokias funkcijas kaip vm#runInThisContext, vaikas_procesas#execir fs#writeFile, tačiau tikram išnaudojimui to nereikia, sako mokslininkas.
„Tai būtų galima išnaudoti tik tuo atveju, jei būtumėte sąmoningai pasirinkę leisti klientams tai remtis, o tai būtų pavojinga, kad ir kas būtų“, – pažymi Davidsonas.
Jis taip pat paaiškino, kad šie netikri PoC neveiks su Next.js, nes šių funkcijų nėra, nes serverio funkcijų sąrašas yra valdomas automatiškai.
Kūrėjams primygtinai rekomenduojama taikyti pataisymus, esančius „React“ 19.0.1, 19.1.2 ir 19.2.1 versijose bei „Next.js“ versijose 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.7.5.7 ir .7.
Organizacijos turėtų patikrinti savo aplinką, kad nustatytų, ar jos naudoja pažeidžiamą versiją, ir imtis atitinkamų veiksmų rizikai sumažinti.
Dviejų sprendimų populiarumą atspindi savaitinių atsisiuntimų skaičius, nes „Node Package Manager“ (NPM) „React“ skaičiuoja 55,8 mln., o „Next.js“ toje pačioje platformoje turi 16,7 mln.
Sugedęs IAM yra ne tik IT problema – poveikis skleidžiasi visame versle.
Šiame praktiniame vadove aprašoma, kodėl tradicinė IAM praktika neatitinka šiuolaikinių reikalavimų, pateikiami pavyzdžiai, kaip atrodo „geras“ IAM, ir paprastas kontrolinis sąrašas, kaip sukurti keičiamo dydžio strategiją.
