Nye React RSC-fejl CVE-2025-55183 og CVE-2025-55184 rejser nye sikkerhedsproblemer

Hjem » Python » Nye React RSC-fejl CVE-2025-55183 og CVE-2025-55184 rejser nye sikkerhedsproblemer

to nyligt afslørede sårbarheder i React Server Components (RSC) har sat nyt fokus på sikkerheden i moderne JavaScript-backends. Sporet som CVE-2025-55183 og CVE-2025-55184Disse fejl muliggør ikke direkte fjernudførelse af kode, men de kan stadig forårsage alvorlig forstyrrelse gennem denial-of-service og uønsket afsløring af backend-kildekode, når de udnyttes under de rette forhold.

Disse fejl dukkede op som en del af en bredere sikkerhedsgennemgang udløst af det kritiske React2Shell-problem (CVE-2025-55182), som allerede havde tiltrukket aktiv udnyttelse i naturen. Selvom de nye svagheder er mindre alvorlige end den tidligere 10.0 CVSS-sårbarhed, fremhæver de, hvordan både forskere og angribere dykker dybt ned i, når en kritisk fejl bliver offentliggjort. tilstødende RSC-kodestier, der søger efter variantangrebsteknikker.

Baggrund: Fra React2Shell til nye RSC-sårbarheder

relateret artikel:

React Router bevæger sig fremad med serverkomponenter, framework-tilstande og åben styring

Da forsvarere og React-teamet implementerede afhjælpende foranstaltninger for React2Shell, begyndte sikkerhedsforskere at undersøge den opdaterede kode for at kontrollere, om rettelserne kunne omgået eller udvidet til nye udnyttelsesprimitiverDenne proces er standardpraksis i hele branchen: Når en meget kritisk sårbarhed er rettet, undersøges logik og grænseflader i nærheden grundigt for lignende mønstre.

Det var under denne opfølgende forskning, at tre relaterede RSC-fejl blev dokumenteret: et denial-of-service-problem (CVE-2025-55184), en efterfølgende ufuldstændig rettelse med samme indvirkning (CVE-2025-67779) og en svaghed i informationsafsløring (CVE-2025-55183). Selvom CVE-2025-67779 også er relevant for RSC-sikkerhed, er hovedfokus nu på at forstå nyligt detaljeret adfærd og indvirkning af CVE-2025-55183 og CVE-2025-55184.

Sideløbende med denne tekniske analyse har incident response-teamet set angrebskæder udvikle sig omkring React2Shell, hvor angribere kombinerer RCE med post-exploitation payloads og lateral bevægelse. Denne fortsatte aktivitet øger behovet for, at organisationer behandler... alle relaterede RSC-sårbarheder, herunder CVE-2025-55183 og CVE-2025-55184, som en del af en enkelt, udviklende angrebsflade snarere end isolerede fejl.

Opdagelsen og den ansvarlige afsløring af disse problemer viser, hvordan det bredere sikkerhedsfællesskab, leverandøringeniører og bug-dusørjægere samarbejde om at styrke udbredte frameworks som React, selv når modstandere forsøger at bevæbne de samme komponenter.

Tekniske detaljer for CVE-2025-55184: Denial-of-Service i serverfunktioner

CVE-2025-55184 beskrives som en Sårbarhed i forbindelse med denial-of-service (DoS) før godkendelse påvirker React Server-komponenter. Problemets rod ligger i den måde, visse RSC-pakker håndterer deserialisering af nyttelast fra HTTP-anmodninger målretning af serverfunktionsslutpunkter.

I sårbare versioner kan specialudformede anmodninger udløse usikker deserialiseringslogik, der falder ind i en uendelig løkkeNår denne løkke er aktiveret, hænger processen, der håndterer serverfunktionen, effektivt, hvilket fører til en tilstand, hvor applikationen ikke længere er i stand til at håndtere efterfølgende HTTP-trafik eller reagere pålideligt.

Konsekvensen er særligt bekymrende, fordi fejlen kan udnyttes før nogen form for godkendelse håndhævesMed andre ord behøver en angriber ikke gyldige legitimationsoplysninger eller forhøjede rettigheder for at forsøge at udnytte; en strøm af ondsindede anmodninger er nok til at binde serverressourcer og potentielt slå en RSC-drevet tjeneste offline.

Ifølge den offentliggjorte scoring har CVE-2025-55184 en CVSS basisscore på 7.5, hvilket placerer den i kategorien med høj alvorlighed. Selvom den ikke tilbyder kodeudførelse alene, kan en pålidelig DoS-primitiv mod en central del af backend-stakken stadig resultere i tilgængelighedsrisici, brud på serviceniveauaftaler og indvirkning på downstream-forretning.

Under patchingprocessen oprettes en separat identifikator, CVE-2025-67779, blev tildelt en ufuldstændig løsning til dette problem. Den opfølgende CVE adresserer resterende stier, der stadig producerede den samme denial-of-service-effekt, hvilket understreger, hvordan Lukning af komplekse deserialiseringsfejl kan kræve flere iterationer for at dække alle edge-tilfælde.

Tekniske detaljer for CVE-2025-55183: Eksponering af kildekode via udformede anmodninger

Hvor CVE-2025-55184 fokuserer på tilgængelighed, CVE-2025-55183 omhandler fortrolighedDenne sårbarhed er karakteriseret som en informationslækagefejl i React Server-komponenter der kan medføre, at kildekoden for visse serverfunktioner returneres til en fjernklient.

I sårbare udgivelser kan en omhyggeligt designet HTTP-anmodning sendt til en eksponeret serverfunktion udløse adfærd, hvor serveren svarer med den underliggende kode for enhver målrettet serverfunktionDenne form for lækage kan afsløre implementeringsdetaljer, forretningslogik, hardcodede strenge eller andre følsomme oplysninger, som organisationer normalt opbevarer udelukkende på serversiden.

Udnyttelse af CVE-2025-55183 er dog begrænset af en specifik forudsætning: der skal være mindst én Serverfunktion, hvis grænseflade eksponerer et argument, der er blevet konverteret til et strengformat, enten eksplicit eller implicit. Først når dette mønster findes i applikationens RSC-brug, bliver sårbarheden levedygtig for en potentiel angriber.

Sikkerhedsvurderinger tildeles en CVSS-score på 5.3 til CVE-2025-55183, hvilket placerer det i mellemsværhedsgraden. Alligevel kan afsløring af kildekode være langt fra harmløs. Kendskab til interne funktionsnavne, parametre, fejlhåndtering og datastrømme kan hjælpe modstandere med at udforme mere skræddersyede angreb, opdage skjulte svagheder og udvikle phishing- eller social engineering-tiltag, der stemmer bedre overens med den faktiske systemadfærd.

Ud over enhver umiddelbar udnyttelsesværdi kan den synlighed, der opnås fra lækket Server Function-kode, effektivt gøre applikationen til sin egen. plan for fremtidige indbrudsforsøg, især i miljøer, hvor de samme mønstre forekommer på tværs af flere tjenester.

Berørte pakker og versioner i React RSC-økosystemet

De nyligt dokumenterede sårbarheder påvirker en række React Server Components-integrationspakker, specifikt implementeringerne, der integrerer RSC i bygge- og runtime-værktøjer. De berørte moduler er:

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

For både CVE-2025-55184 og CVE-2025-55183 spænder de berørte versioner over flere 19.x-udgivelser. De sårbare versioner omfatter 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 og 19.2.1Udviklingsteams, der kører disse versioner i produktion eller staging, skal antage, at deres instanser kan være modtagelig for denial-of-service eller lækage af kildekode hvis de udsættes for upålidelig trafik.

Derudover er den ufuldstændige rettelse repræsenteret af CVE-2025-67779 påvirker versioner 19.0.2, 19.1.3 og 19.2.2Selvom denne identifikator er forbundet med den samme type DoS-adfærd som CVE-2025-55184, fremhæver den, at selv opgraderede miljøer kan forblive delvist eksponerede, hvis de lander på disse mellemliggende udgivelser.

Udvalget af berørte versioner viser, hvordan RSC's hurtige iterationscyklus kan komplicere administrationen af ​​programrettelser. Organisationer, der opgraderer sporadisk eller fastlåser til specifikke mindre versioner, er muligvis ikke klar over, at en nyligt udgivet udgivelse falder inden for et berørt vindue, hvilket gør omhyggelig versionsrevision er afgørende.

I betragtning af populariteten af ​​React-økosystemet og den voksende anvendelse af serverkomponenter til ydeevne og udvikleroplevelse, er puljen af ​​applikationer, der potentielt kan blive berørt af CVE-2025-55183 og CVE-2025-55184 vil sandsynligvis spænde over et bredt spektrum af brancher og implementeringsmodeller.

Opdaterede versioner og anbefalet opgraderingssti

For at afhjælpe sårbarhederne har React-teamet udgivet patchede versioner til alle tre berørte RSC-pakkerBrugere opfordres til at migrere til følgende reparerede udgivelser så hurtigt som muligt:

• 19.0.3
• 19.1.4
• 19.2.3

Ifølge vedligeholderne er disse opdateringer fuldt ud afhjælpe denial-of-service-problemet, der er beskrevet i CVE-2025-55184 og den relaterede CVE-2025-67779, samt risikoen for informationsafsløring beskrevet i CVE-2025-55183. Afgørende er det, at den tidligere React2Shell-vektor (CVE-2025-55182) også er blokeret af det bredere sæt af programrettelser, der er blevet udgivet på tværs af 19.x-grenene.

Teams med ansvar for produktionsimplementeringer opfordres til at behandle dette som en vedligeholdelsesopgave med høj prioritet, især i betragtning af den aktive udforskning af RSC-sårbarheder foretaget af både legitime forskere og fjendtlige aktører. Hvor øjeblikkelig implementering af den seneste mindre linje ikke er mulig, bør organisationer som minimum sikre de sidder ikke fast på nogen af ​​de specifikt anførte sårbare builds.

Som altid bør opgradering af biblioteker gå hånd i hånd med test og gradvise udrulningerTilføjelse af regressionskontroller omkring kritiske serverfunktioner, overvågning af fejlrater efter opgraderingen og gennemgang af logfiler for usædvanlig deserialiserings- eller serialiseringsaktivitet kan hjælpe med at sikre, at de nye versioner opfører sig som forventet under reel trafik.

Den hurtige tilgængelighed af patches understreger React-teamets holdning om, at flere runder af offentliggørelser ikke nødvendigvis er et tegn på mislykket afhjælpning, men snarere på en en sund responscyklus, hvor defensiv dybde forbedres over tid efterhånden som flere kanttilfælde og variantstier afdækkes og løstes.

Hvordan sårbarhederne blev opdaget og rapporteret

De nyligt dokumenterede fejl afspejler et løbende samarbejde mellem uafhængige sikkerhedsforskere og Metas bug bounty-programDenial-of-service-problemerne, CVE-2025-55184 og den efterfølgende CVE-2025-67779, blev rapporteret af RyotaK og Shinsaku Nomura, som fik æren for at identificere, hvordan ondsindede nyttelast kunne skubbe RSC til en ikke-responsiv tilstand.

Sårbarheden ved informationslækage, CVE-2025-55183, blev afsløret af Andrew MacPherson, som fremhævede de betingelser, under hvilke en serverfunktion kan returnere sin egen kildekode, når den præsenteres for en omhyggeligt konstrueret HTTP-anmodning.

Disse resultater fremkom, mens forskerne aktivt forsøgte at stresstest de eksisterende afhjælpningsforanstaltninger for CVE-2025-55182Dermed replikerede de effektivt den slags analytisk arbejde, som bestemte angribere kunne udføre, men inden for rammerne af ansvarlig rapportering og koordineret distribution af patches.

React-teamet har offentligt anerkendt, at mønstre som dette er typisk i hele softwarebranchen, ikke kun inden for JavaScript-økosystemet. Når en kritisk fejl fanger opmærksomheden, søger både udviklere og modstandere efter "Variant" udnyttelsesstrategier langs tilstødende kodestier, hvilket nogle gange afslører tidligere oversete svagheder.

Ved at adressere CVE-2025-55183, CVE-2025-55184 og CVE-2025-67779 hurtigt og transparent, sigter vedligeholderne mod at vær på forkant med potentiel våbenvæbning samtidig med at organisationer får klar vejledning i, hvordan de sikrer deres implementeringer af React Server Components.

Risikokontekst: Hvorfor ikke-RCE-fejl stadig er vigtige

Selvom disse nye sårbarheder ikke i sig selv giver en angriber direkte fjernudførelse af kode, kan de stadig Værktøjer af høj værdi i et bredere indbrudssætEn denial-of-service-fejl som CVE-2025-55184 kan bruges til at forstyrre driften, fungere som et røgslør, der distraherer forsvarere, eller undersøge, hvor robust en organisations infrastruktur er under unormal belastning.

Parallelt hermed anvendes en kildekodeeksponeringsvektor, f.eks. CVE-2025-55183 kan understøtte rekognosceringsindsatsenAdgang til den interne tekst i Server Functions kan afsløre, hvordan anmodninger godkendes, hvilke parametre der påvirker databaseadgang, hvordan fejl håndteres, og hvor tredjepartstjenester er integreret. Denne indsigt er uvurderlig for angribere, der forsøger at planlægge mere præcise eller skjulte udnyttelsesforsøg.

I miljøer, der allerede oplever eftervirkningerne af React2Shell (CVE-2025-55182), øger disse yderligere svagheder kompleksiteten af ​​det samlede trusselsbillede. Forsvarere er tvunget til ikke kun at overveje øjeblikkelig forebyggelse af RCE, men også stabilitet og fortrolighed af RSC-adfærd under ondsindet input.

Fra et ledelsesperspektiv fremhæver denne situation, hvorfor Programmer for sårbarhedsstyring skal se ud over de imponerende CVSS 10.0-scorerMellem- og højalvorlige fejl, der påvirker tilgængelighed og informationseksponering, kan stadig være afgørende, især når de kombineres med andre teknikker i en realistisk angrebskæde.

I sidste ende forstærker disse udviklinger ideen om, at opretholdelse af sikre RSC-implementeringer ikke er en engangsindsats. Det er i stedet en løbende proces med patching, overvågning, test og gennemgang af, hvordan serverfunktioner er designet og eksponeret over tid.

Mens støvet har lagt sig omkring React2Shell-nødsituationen og dens tilhørende efterfølgende opdagelser, bliver organisationer, der bruger React Server Components, presset til at genoverveje deres afhængighedsversioner, forstærke deres server-side interfaces og reagere hurtigt på upstream sikkerhedsrådgivningerVed at holde sig opdateret på de seneste opdaterede udgivelser og integrere sikkerhedstjek i deres udviklingsworkflows kan teams betydeligt reducere muligheden for angribere, der målretter CVE-2025-55183, CVE-2025-55184 og relaterede RSC-sårbarheder.