- CVE-2025-55182 i React og CVE-2025-66478 i Next.js tillader uautoriseret fjernudførelse af kode via React Server Components Flight-protokollen.
- Fejlen stammer fra usikker deserialisering af RSC-nyttelaster, hvilket efterlader standard React- og Next.js-konfigurationer eksponeret uden ændringer i brugerdefineret kode.
- Sikkerhedsforskere rapporterer næsten 100% udnyttelsespålidelighed og advarer om, at masseangreb er sandsynlige, efterhånden som programrettelser analyseres.
- Øjeblikkelige opgraderinger til de forstærkede React- og Next.js-udgivelser er den eneste definitive afhjælpning, især i cloud-miljøer, hvor op til ~40% kan være sårbare.
Afsløringen af CVE-2025-55182 i React og dens dobbeltproblem CVE-2025-66478 i Next.js har sat fokus på, hvor skrøbelige JavaScript-stakke på serversiden kan være, når lavniveauprotokoller går galt. I stedet for at være en niche-fejl er dette en fjernudførelsesfejl med maksimal alvorlighed, der rammer kernen i React Server Components og Flyveprotokol mange moderne apps er stille og roligt afhængige af.
Det, der gør denne sag særligt foruroligende, er, at standardindstillingerne er synligeEn almindelig Next.js-app genereret med create-next-app, bygget til produktion og implementeret uden usædvanlige muligheder, kan kompromitteres via en uautoriseret HTTP-anmodning. Ingen avanceret fejlkonfiguration, intet eksotisk plugin – bare standardstakken, som mange teams ruller ud hver dag.
Hvordan CVE-2025-55182 og CVE-2025-66478 blev afdækket
Problemets rod ligger i react-server implementering, der driver React Server Components (RSC)Denne pakke understøtter Flight-protokollen, som bruges til at sende serialiserede komponentdata mellem klient og server. Når sikkerhedsforsker Lachlan Davidson rapporterede mistænkelig adfærd gennem Metas bug bounty-program i slutningen af november, udløste det en hurtig reaktion fra React- og Meta-teams.
Ifølge offentlige meddelelser blev sårbarheden afsløret onsdag, og nødplastre blev sendt inden for cirka fire dageDet er en usædvanlig hurtig håndtering af et problem, der påvirker et så stort økosystem, og det understreger, hvor alvorlig fejlen er: Reacts vedligeholdere vurderede den med en CVSS-score på 10.0, det maksimalt mulige.
Parallelt, Vercel — virksomheden bag Next.js — analyserede, hvordan den samme underliggende fejl påvirkede dens framework. Fordi Next.js bruger den samme RSC Flight-protokol på serveren, arvede den svagheden og fik tildelt sin egen identifikator, CVE-2025-66478Vercel udsendte en advarsel og udgav programrettelser samme dag som React-advarslen med det formål at holde angriberes muligheder så korte som muligt.
Trods den hurtige reaktion, Sikkerhedsleverandører og forskere begyndte at advare om, at angribere sandsynligvis ville reverse engineere rettelserne meget hurtigt, som det ses i forsyningskædeangreb mod npmNår den opdaterede kode er offentlig, bliver det meget nemmere at udlede, hvor fejlen var, og at bygge fungerende exploits.
Hvad går der præcist galt i React Flight-protokollen?
På det tekniske niveau kan både CVE-2025-55182 og CVE-2025-66478 koges ned til det usikker deserialisering af angriberkontrollerede data inden for Flight-protokollen. React Server-komponenter sender og modtager strukturerede nyttelast, som serveren derefter afkoder og bruger til at drive udførelsesflowet.
Den sårbare logik i react-server pakke undlod at validere strukturen og indholdet af indkommende RSC-nyttelaster strengtVed at sende en bevidst misdannet, men omhyggeligt udformet Flight-nyttelast til et React Server Function-slutpunkt kan en angriber påvirke, hvad serveren gør, når den deserialiserer disse data. I stedet for blot at rekonstruere en godartet komponenttilstand kan kodestien styres til at udføre. privilegeret JavaScript på serveren.
Fordi fejlen påvirker, hvordan protokollen afkodes, ingen godkendelse er påkrævetEn fjernangriber behøver kun at kunne sende HTTP-anmodninger til ethvert tilgængeligt RSC- eller Server Function-slutpunkt. Dette forvandler sårbarheden til en ligetil, uautentificeret RCE-vektor: send en udformet anmodning, vent på den usikre deserialisering, og nyttelasten kan ende med at køre på backend.
Forskere fra Wiz, som uafhængigt af hinanden analyserede problemet, beskriver det som en sårbarhed i logisk deserialisering snarere end en simpel parsing-fejl. I deres test blev der opnået et fuldt fungerende proof-of-concept-angreb næsten 100% pålidelighed ved at udløse kodekørsel på sårbare mål.
Hvorfor standard React- og Next.js-implementeringer er i fare
Et af de mest bekymrende aspekter ved disse CVE'er er, at de påvirker standardkonfigurationerFor mange sikkerhedsproblemer kræver udnyttelse et specifikt funktionsflag, et sjældent brugt plugin eller en ikke-standard implementeringstilstand. Det er ikke tilfældet her.
React Server-komponenter og deres Flight-protokol er blevet integrerede dele af moderne React 19- og Next.js-arkitekturer. Som et resultat, en standardproduktionsversion genereret af create-next-app kan udnyttes uden yderligere kode fra applikationsudvikleren. Angriberen behøver ikke at gætte brugerdefinerede ruter eller forretningslogik; misbrug af de generiske RSC-slutpunkter er tilstrækkeligt.
Fejlen er ikke begrænset til Next.js selv. Ethvert framework eller værktøj, der bundter eller genimplementerer RSC Flight-protokollen på serveren kan være sårbare. Offentlige vejledninger og sikkerhedsrapporter fremhæver flere berørte økosystemer:
- Next.js, den mest kendte ramme, der påvirkes downstream
- Vite RSC-plugin (
@vitejs/plugin-rsc) - Parcel RSC-plugin (
@parcel/rsc) - React Router RSC-forhåndsvisning
- Redwood SDK (ofte omtalt som
rwsdk) - Waku og andre RSC-aktiverede værktøjskæder
I selve React påvirker fejlen version 19.0, 19.1.0, 19.1.1 og 19.2.0 af de relevante pakker. Vedligeholderne angiver, at opgradering til 19.0.1, 19.1.2 eller 19.2.1 giver forbedret adfærd og fjerner sårbarheden. Next.js har tilsvarende rette udgivelser, der integrerer den opdaterede React-serverlogik.
Nogle infrastrukturudbydere har præciseret grænserne for påvirkning. For eksempel har Google udtalt, at Offentlige OS-billeder til Compute Engine er som standard ikke sårbare, da de ikke leverer React eller Next.js færdiglavet; risikoen opstår, når brugerne implementerer berørte versioner af disse frameworks oven på basisbillederne.
Hvor stor er eksplosionsradiusen på tværs af skyen?
Problemets omfang træder i fokus, når man ser på, hvor udbredt React og Next.js bruges i produktion. React understøtter brugergrænseflader for store platforme som f.eks. Facebook, Instagram, Netflix, Airbnb, Shopify, Walmart, Asana og mange andreDerudover er utallige mindre apps og interne dashboards bygget med de samme komponenter og frameworks.
Trusselsefterretningsteams hos Wiz analyserede telemetri fra cloudmiljøer og fandt ud af, at Omkring 39-40 % af cloud-implementeringer indeholder sårbare instanser af React eller Next.js. Alene for Next.js fremstår frameworket omtrentligt 69 % af de undersøgte miljøer, og om cirka 61% af disse offentligt vendte applikationer kører ovenpå detNår man kombinerer disse procenter, betyder det, at omtrent 44% af alle observerede cloud-miljøer hoster offentligt eksponerede Next.js-instanser, uanset den nøjagtige framework-version.
Det er netop den overlapning mellem popularitet og sårbarhed, der alarmerer forsvarere. Når en bredt udbredt stak har en uautentificeret RCE-fejl med maksimal alvorlighed og en pålidelig angrebssti, Opportunistiske og målrettede angreb vil næsten garanteret følgeSelv organisationer, der opdaterer patches hurtigt, kan stå over for et kort vindue, hvor eksponerede endpoints kan blive undersøgt og kompromitteret.
På tidspunktet for de første afsløringer, ingen bekræftet udnyttelse i naturen er blevet offentligt rapporteretFlere sikkerhedsforskere, herunder eksperter fra Rapid7 og watchTowr, understregede dog, at det er realistisk at antage, at trusselsaktører allerede foretager reverse engineering af patches, scanner for ikke-patchede tjenester og opbygger automatiserede angrebskæder.
Hvad forskere og leverandører siger om udnyttelsesrisiko
Udtalelser fra sikkerhedsmiljøet tegner et ensartet billede: dette er ikke et teoretisk problem, og adgangsbarrieren for angribere er lav. Benjamin Harris, administrerende direktør for watchTowr, beskrev fejlen som en stor risiko for brugere af et af verdens mest udbredte webframeworks og understregede, at udnyttelse kræver "få forudsætninger".
Forskere hos Wiz gentog denne vurdering efter at have testet både sårbare og opdaterede versioner. Deres interne eksperimenter viste, at de fremstillede nyttelaster, der blev brugt til at udnytte den usikre deserialisering, opnåede en næsten 100% succesrate ved at udløse fuld fjernudførelse af kode på berørte servere. De bemærkede også, at angrebet er fuldt fjernbetjent og uautentificeret, drevet udelukkende af specielt konstruerede HTTP-anmodninger.
Fra Rapid7's perspektiv er forventningen, at Tekniske rapporter og proof-of-concept-angreb vil dukke op, når nok personer har analyseret programrettelserne.Det vil sandsynligvis føre til bredere scanning og masseudnyttelsesforsøg, især mod cloud-miljøer med mange internetvendte apps.
Selv uden for leverandørmiljøet, Branchemedier har fremstillet disse CVE'er som værende en betydelig del af internettet i fare.Rapportering har ikke kun fremhævet den rå alvorlighedsgrad, men også antallet af store forbrugersider, SaaS-platforme og API-backends, der er afhængige af React og Next.js til deres frontends og server-side rendering.
Afhjælpningstrin: hvad React- og Next.js-brugere bør gøre nu
For teams, der kører React eller Next.js i produktion, samles vejledningen fra vedligeholdere og forskere om et simpelt punkt: Opgradering til de opdaterede versioner er den eneste definitive løsningDer er ingen konfigurationsknapper eller generiske WAF-regler, der fuldt ud kan løse den underliggende usikre deserialiseringsadfærd i Flight-protokollen.
React-teamet anbefaler, at alle på berørte filialer flytter til de forstærkede udgivelser 19.0.1, 19.1.2 eller 19.2.1, og sørger for, at react-server Pakken er inkluderet i opdateringen. Vercel har udgivet Next.js rette builds, der integrerer den patchede RSC-håndteringAdministratorer bør konsultere den officielle Next.js-vejledning for at bestemme den minimalt sikre version til deres valgte udgivelseslinje.
Organisationer, der er afhængige af andre RSC-aktiverede frameworks — såsom Redwood, Waku, React Routers RSC-forhåndsvisning eller Vite og Parcel RSC-plugins — anbefales at Tjek de tilsvarende udgivelsesnoter og sikkerhedskanalerI mange tilfælde indpakker eller bundter disse projekter blot Reacts serverkomponenter, så det er nødvendigt at opdatere selve React og derefter hente den seneste framework-revision.
Ud over simpel patching bruges cloud-fokuserede værktøjer til at jagt efter sårbare tilfælde i stor skalaWiz-kunder kan for eksempel benytte sig af forespørgsler og rådgivning i Wiz Threat Center for at finde ud af, hvor berørte versioner af React eller Next.js er implementeret i deres miljøer. Andre organisationer bruger aktivopgørelser, SBOM-data og containerscanning for at opnå lignende synlighed.
Hvis der er tegn på, at systemer allerede kan være blevet målrettet eller kompromitteret via disse CVE'er, Support til håndtering af hændelser anbefalesNogle leverandører opfordrer specifikt kunder, der har mistanke om udnyttelse af CVE-2025-55182 eller CVE-2025-66478, til at kontakte deres IR-teams for at få hjælp til triage, inddæmning og retsmedicin.
Hvad dette afslører om JavaScript-webøkosystemet
Selvom React- og Next.js-patcherne lukker det umiddelbare hul, Hændelsen rejser bredere spørgsmål om, hvordan JavaScript-frameworks på serversiden håndterer upålidelige data.Protokoller som Flight sidder dybt i stakken, skjult bag abstraktioner, som udviklere sjældent inspicerer direkte, hvilket betyder, at fejl kan have vidtrækkende effekter, før de opdages.
Det faktum, at sårbar adfærd leveret som standard, stærkt promoverede konfigurationer fremhæver også spændingen mellem udvikleroplevelsen og design, der er sikkert som standard. Funktioner, der gør det nemmere at bygge moderne apps – såsom serverkomponenter og problemfri serialisering mellem klient og server – kan stille og roligt introducere komplekse angrebsflader.
For sikkerhedsteams er denne sag endnu en påmindelse om, at Sårbarheder på framework-niveau kan øjeblikkeligt udvikle sig til eksponering på tværs af hele organisationenEn enkelt fejl i en populær open source-komponent kan opstå i hjertet af snesevis af separate applikationer, mikrotjenester og interne værktøjer, især når containere og skabeloner genbruges.
På den positive side viser svaret fra React-vedligeholderne, Meta og Vercel, at Koordineret afsløring og hurtig patch-udvikling er mulig selv i store økosystemerTydelige vejledninger, versionsrettede rettelser og koordinering med sikkerhedsleverandører har hjulpet forsvarere med at prioritere dette problem midt i mange konkurrerende sårbarheder.
Fremadrettet forventer mange iagttagere fortsat granskning af serialisering, deserialisering og protokolparsinglogik i webframeworksHvis CVE-2025-55182 og CVE-2025-66478 ansporer til mere systematisk testning og strengere validering af komponenter som Flight, kan der opstå visse langsigtede sikkerhedsfordele som følge af en ellers alvorlig hændelse.
For nuværende er teams, der kører React- eller Next.js-stakke, i et kapløb mellem patch-implementering og automatisering af angribereMed en RCE med maksimal alvorlighed, der påvirker standardkonfigurationer, omfattende cloud-tilstedeværelse og høj pålidelighedsudnyttelsesteknikker, der allerede er demonstreret i forskning, afhænger sikkerheden af, hvor hurtigt organisationer kan identificere, hvor de er eksponerede, og flytte alt til de mere forstærkede versioner.
