- CVE-2025-55182 i React og CVE-2025-66478 i Next.js muliggør uautoriseret fjernudførelse af kode via React Server Components "Flight"-protokollen.
- Fejlen opstår som følge af usikker deserialisering af fremstillede RSC-nyttelaster og påvirker mange frameworks i deres standardkonfiguration.
- Forskere observerede næsten 100% exploit-pålidelighed og anslår, at cirka 39-40% af cloud-miljøer kører sårbare React/Next.js-instanser.
- Øjeblikkelige opgraderinger til de forstærkede React- og Next.js-udgivelser er den eneste definitive afhjælpning, da leverandører allerede har sendt programrettelser og vejledning ud.
I løbet af de seneste par dage har sikkerhedsteams over hele verden kæmpet for at vurdere et par nyligt afslørede fejl i React-økosystemet: CVE-2025-55182 i React Server Components og CVE-2025-66478 i Next.jsDisse fejl åbner døren for fuld fjernudførelse af kode på servere og har skabt alarm, fordi de kan udløses uden godkendelse og med meget lidt indsats fra en angriber.
Problemet går lige igennem kernen af moderne JavaScript-infrastruktur. React og Next.js driver alt fra små sideprojekter til platforme, der bruges af store virksomheder, og en betydelig del af cloud-arbejdsbelastningerne er afhængige af dem. Forskere advarer om overhængende masseudnyttelse og næsten perfekt udnyttelsespålidelighed, udviklings- og driftsteams bliver opfordret til at flytte patching øverst på deres opgavelister.
Hvad CVE-2025-55182 og CVE-2025-66478 egentlig er
Kernen i problemet ligger React Server Components (RSC) “Flight”-protokol, en mekanisme introduceret til at håndtere serverdrevne renderingsflows. CVE-2025-55182 er den identifikator, der er tildelt sårbarheden i Reacts egen react-server pakke, mens CVE-2025-66478 dækker den tilsvarende fejl i Next.js, som integrerer og udvider denne protokol.
Sårbarheden er i bund og grund en logisk deserialiseringsfejl i måden, hvorpå RSC-nyttelaster behandlesNår en server modtager en specialfremstillet, misdannet Flight-nyttelast, undlader implementeringen at validere strukturen grundigt, før der reageres på den. Denne forsømmelse lader angriberkontrollerede data slippe ind på steder, hvor de kan påvirke serversidens udførelse.
I praksis betyder det, at en angriber kan sende en enkelt udformet HTTP-anmodning til en React Server-funktion eller et RSC-slutpunktNår serveren deserialiserer den pågældende nyttelast, kan den tvinges til at køre vilkårlig JavaScript-kode med serverprocessens rettigheder, hvilket omdanner en simpel anmodning til en fuldgyldig fjernkodeudførelse (RCE).
Sikkerhedsteams og leverandører beskriver begge CVE'er som havende en maksimal CVSS-score på 10.0, den højest mulige vurdering. Det afspejler kombinationen af fjerntilgængelighed, manglende godkendelseskrav og potentialet for fuldstændig kompromittering af det berørte miljø.
Hvorfor standardkonfigurationer er eksponeret
En detalje, der har givet anledning til særlig bekymring, er, at disse fejl påvirker standardopsætninger uden usædvanlig konfigurationEn typisk Next.js-applikation genereret med create-next-app, kompileret til produktion og implementeret med standardindstillinger, kan være sårbare direkte fra starten.
Det samme gælder for mange andre RSC-aktiverede frameworks og værktøjer, der samler react-server implementeringFordi de implementerede Flight-protokollen, som React designede den, arvede de den usikre deserialiseringsadfærd. Udviklere behøver ikke at tilføje eksotiske funktioner eller brugerdefineret parsinglogik for at fejlen kan udnyttes.
Denne standardeksponering øger risikoen for, at angribere kan Scan internettet for RSC- eller Server Function-slutpunkter og snubler hurtigt over brugbare mål. Der er ikke behov for stjålne legitimationsoplysninger eller eksisterende adgang: hvis de relevante endpoints kan nås fra det offentlige internet og kører sårbare versioner, er de i farezonen.
Sikkerhedsforskere understreger, at selv organisationer med veludviklede sikkerhedsprogrammer kan blive påvirket, fordi RSC aktiveres ofte implicit gennem frameworkopdateringer og skabeloner, og nogle teams er måske ikke klar over, at de bruger det i produktionen.
Omfang af påvirkning på tværs af React- og Next.js-økosystemer
Flere analyser konvergerer til den samme konklusion: omfanget af den potentielle eksplosionsradius er usædvanligt stort. Data fra Wiz Research tyder på, at omkring 39 % til 40 % af cloudmiljøer indeholder React- eller Next.js-instanser, der er sårbare overfor CVE-2025-55182 og/eller CVE-2025-66478.Det er en betydelig del af det offentlige internets applikationslag.
Problemet er ikke begrænset til enkeltstående React-installationer. Især Next.js er ekstremt udbredtDet forekommer i næsten 69 % af de observerede miljøer i nogle datasæt, og et flertal af disse kører offentligt vendte Next.js-apps. Denne kombination betyder, at en betydelig del af cloud-ejendomme eksponerer sårbare endpoints direkte for upålidelig trafik.
Med hensyn til specifikke komponenter påvirker problemet React 19.0, 19.1.0, 19.1.1 og 19.2.0 serier, der inkluderer de fejlbehæftede react-server implementering. På rammesiden er flere populære værktøjer, der integrerer RSC, også involveret. Selvom den nøjagtige effekt varierer, omfatter listen over teknologier, der er forbundet med den sårbare protokol:
- Next.js
- Vite RSC-plugin (
@vitejs/plugin-rsc) - Parcel RSC-plugin (
@parcel/rsc) - React Router RSC-forhåndsvisning
- Redwood SDK
- Waku
Det understreger forskere ethvert framework eller bibliotek, der bundter de berørte react-server implementering vil sandsynligvis være omfattet, selvom det ikke eksplicit er angivet i tidlige meddelelser. Organisationer rådes til at lave en opgørelse over deres brug af RSC på tværs af byggeværktøjer, forhåndsvisninger og pilotprojekter, ikke kun produktionsapps med høj trafik.
Cloud-udbydere er også begyndt at reagere. For eksempel bemærkede en leverandør, at Dens standard offentlige OS-billeder til virtuelle maskiner leveres ikke med sårbare React-komponenter aktiveret som standard, selvom det ikke beskytter arbejdsbelastninger, hvor kunderne selv installerer og konfigurerer React eller Next.js.
Hvordan udnyttelse fungerer, og hvorfor pålideligheden er så høj
Selvom leverandører bevidst holder nogle af detaljerne om lavniveau-udnyttelse tilbage for at give forsvarerne tid til at rette fejlen, er den overordnede struktur offentlig. På et højt niveau behøver en angriber kun at udform en HTTP-anmodning, der bærer en specifik, misdannet RSC-nyttelast rettet mod et server-slutpunkt, der analyserer React Flight-data.
Da den sårbare kodesti er en del af standard deserialiseringslogikken, er der intet krav om, at et offer klikker på noget, logger ind eller udfører en flertrinsarbejdsgang. Så længe angriberen kan nå en serverfunktion eller et RSC-slutpunkt, kan de forsøge at udløse den usikre deserialisering og styre udførelsen mod deres egen nyttelast.
I test rapporterede sikkerhedsteams, at udnyttelse viste "Høj troskab" med succesrater, der nærmer sig 100% når målets konfiguration var forstået. Den slags pålidelighed er usædvanlig for fjernangreb og øger sandsynligheden for, at angribere kan automatisere scanning og kompromittere i stor skala.
Eksperter advarer også om, at Nu offentlige programrettelser og vejledninger fungerer effektivt som en køreplan for reverse engineeringSelv hvis exploit-kode endnu ikke er blevet frigivet bredt, kan trusselsaktører studere forskellene mellem sårbare og faste versioner for at rekonstruere den sårbare logik og gøre den til et våben, et lignende problem. npm-suministratorens cadena.
Ifølge de seneste rapporter var der ingen bekræftede tilfælde af udbredt udnyttelse i naturen, men flere sikkerhedsleverandører og forskere forventer, at det vil ændre sig hurtigt efterhånden som Angribere kappes om at udnytte upatchede systemer før organisationerne afslutter deres afhjælpningsindsats.
Leverandørsvar og tilgængelige programrettelser
Opdagelsen af CVE-2025-55182 tilskrives sikkerhedsforsker Lachlan Davidson, som rapporterede problemet gennem Metas bug bounty-program. Fra den første afsløring til udgivelsen af programrettelser var ekspeditionstiden usædvanlig hurtig, hvilket afspejler fejlens alvor og dens udbredelse på tværs af webøkosystemet.
React-teamet har afsendt hærdede versioner af de berørte pakkerFor kernebiblioteket peger vedligeholderne på opdateringer som f.eks. React 19.0.1, 19.1.2 og 19.2.1 og tilsvarende patched-varianter af relaterede komponenter som lukning af det specifikke deserialiseringshul i Flight-protokollen.
På rammesiden, Vercel, som vedligeholder Next.js, tildelte CVE-2025-66478 til den efterfølgende påvirkning af den samme RSC-fejl og har udgivet opdaterede Next.js-versioner, der inkorporerer den rette React Server Components-adfærd. Deres sikkerhedsvejledning forklarer, at sårbarheden stammer fra den måde, React afkoder nyttelast, der er på vej til Serverfunktionsslutpunkter og at programrettelsen strammer disse afkodningsrutiner.
Andre frameworks og plugin-udviklere, der er afhængige af RSC – såsom vedligeholderne af Redwood, Waku og RSC plugins til Vite og Parcel – er begyndt at udgive deres egen vejledning og versionsopdateringer i overensstemmelse med de opdaterede opdateringer react-server kodeBrugere bliver bedt om at følge projektspecifikke meddelelser og opgraderingsinstruktioner.
Flere kommercielle sikkerhedsudbydere har også reageret. For eksempel Wiz har udgivet en præbygget forespørgsel og rådgivning i sit trusselscenter, så kunderne kan opdage sårbare tilfælde i deres miljøer, mens andre leverandører hævder, at visse webapplikationsfirewalls kan blokere visse angrebsforsøg hvis React-trafik dirigeres korrekt gennem dem. Ikke desto mindre er vedligeholderne klare over, at konfigurationsjusteringer eller WAF-regler ikke kan erstatte korrekt patching.
Risikovurdering: Hvem bør være mest bekymret?
Det korte svar er, at enhver organisation, der kører React 19 eller RSC-afhængige frameworks i produktion bør tage dette alvorligt, men nogle implementeringsmønstre skiller sig ud som særligt udsatte. Offentligt vendte Next.js-applikationer udgør for eksempel et fristende mål, fordi de ofte sidder direkte på internettet og har RSC-funktioner aktiveret som standard.
Organisationer, der gør stor brug af Serverfunktioner, serverdrevet routing, forhåndsvisninger eller eksperimentelle RSC-baserede funktioner er særligt udsatte. I disse opsætninger er det mere sandsynligt, at Flight-nyttelaster bliver behandlet oftere, hvilket giver modstandere mange muligheder for at teste nyttelaster og forfine udnyttelser.
Delte miljøer eller miljøer med flere lejere giver anledning til yderligere bekymringer. Hvis en sårbar React-tjeneste kører med bred adgang til interne ressourcer, vil en En succesfuld RCE kan blive et omdrejningspunkt til lateral bevægelse dybere ind i netværket eller på tværs af kundegrænser.
Analytikere påpeger også, at Bredden af Reacts adoption – af virksomheder som Meta, Netflix, Airbnb, Shopify, Walmart og mange andre—betyder, at den reelle indvirkning ikke er begrænset til rent tekniske risikoberegninger. Et kompromis i en større applikationsstak kan have ringvirkninger på tværs af brugere, partnere og downstream-økosystemer.
Endelig bør selv teams, der mener, at de ikke er stærkt afhængige af RSC, bekræfte denne antagelse. Fordi Værktøj og standardtekster kan stille og roligt aktivere RSC-funktioner, nogle projekter kan være mere udsatte, end deres vedligeholdere er klar over ved første øjekast.
Praktiske afhjælpningstrin for React- og Next.js-brugere
På tværs af vejledninger gentages ét punkt konsekvent: Opgradering til patchede versioner er den eneste definitive løsningDer er intet konfigurationsflag eller mindre justering, der fuldt ud neutraliserer den underliggende usikre deserialiseringsadfærd uden at opdatere de berørte pakker.
For organisationer, der bruger React direkte, anbefaler vedligeholdere skifter til de mere forstærkede versioner – såsom 19.0.1, 19.1.2, 19.2.1 eller nyere – sammen med opdaterede react-server og relaterede RSC-pakkerTeams bør konsultere den officielle React-sikkerhedsvejledning for at bekræfte de præcise versioner, der adresserer CVE-2025-55182 i deres afhængighedstræ.
Next.js-projekter bør på samme måde opgrader til de opdaterede framework-versioner, der inkluderer rettelsen til CVE-2025-66478Fordi en standard Next.js-build er nok til at blive påvirket, fortjener selv små websteder og interne dashboards opmærksomhed, ikke kun flagskibsapplikationer.
For miljøer, der bruger andre RSC-kompatible frameworks – såsom Redwood, Waku eller RSC-plugins til bundlere som Vite og Parcel – er rådet at nøje følge leverandørmeddelelser og implementere eventuelle opdateringer, der indeholder de forstærkede react-server implementering så snart de er tilgængelige. Hvor det er muligt, bør staging-miljøer bruges til at validere applikationsadfærd, før rettelser rulles ud i produktion, og anvende dem i praksis som la. gestión segura de secretos en GitHub Actions.
Parallelt med patching kan sikkerhedsteams scan efter sårbare versioner og eksponerede slutpunkterVærktøjer fra leverandører som Wiz kan hjælpe med at identificere, hvor sårbare React- eller Next.js-instanser kører, mens websikkerhedsscannere og aktivinventar kan kortlægge, hvilke tjenester der er tilgængelige fra internettet i forhold til at være begrænset til interne netværk.
Hvad forsvarsspillere bør holde øje med på kort sigt
Afsløringen af CVE-2025-55182 og CVE-2025-66478 illustrerer et velkendt mønster: en kritisk fejl i en udbredt komponent dukker op, programrettelser lander hurtigt, og så begynder et kapløb mellem forsvarere og angribere. I dette tilfælde er kombinationen af en 10.0 CVSS-score, uautoriseret RCE og standardeksponering gør løbet særligt intenst.
Sikkerhedsforskere forventer, at den næste fase vil involvere hurtig reverse engineering af patches af trusselsaktører. Selv uden at detaljeret proof-of-concept-kode frigives, giver sammenligning af gamle og nye versioner tilstrækkelige spor til, at dygtige angribere kan rekonstruere den sårbare logik.
Organisationer bør forvente en stigning i scanning efter React- og Next.js-slutpunkter, samt mere dybdegående HTTP-anmodninger rettet mod Server Function og RSC URL'er. Logførings- og overvågningssystemer kan spille en rolle her: anomale eller misdannede Flight-nyttelaster, uventede fejl under deserialisering og stigninger i anmodninger til specifikke slutpunkter kan være tidlige indikatorer for forsøg på udnyttelse, og de såkaldte testsystemer. Bøvs-samarbejdspartner pueden ayudar a reproducer vectores.
Nogle forsvarere vender også tilbage dybdegående forsvarskontroller omkring deres React-implementeringer. Det kan omfatte at dirigere trafik gennem webapplikationsfirewalls, stramme netværkseksponeringen af interne tjenester og håndhæve strengere konfigurationer for mindst mulige rettigheder til applikationskørselstilladelser, så en kompromis ikke automatisk giver bred adgang.
Hændelsesberedskabsteams bliver rådet til at forberede dig på potentielle undersøgelser, der involverer disse CVE'erDet kan indebære opdatering af playbooks, sikring af at relevante logs opbevares længe nok til at analysere mistænkelig adfærd og etablering af kontakt med tjenesteudbydere eller sikkerhedsleverandører, der kan hjælpe, hvis der er mistanke om en kompromitteret data.
Budskabet fra forskere, leverandører og cloud-udbydere er ensartet på tværs af linjen: Selvom der endnu ikke er blevet bekræftet offentligt nogen udbredt udnyttelse, gør de tekniske forhold dette til et attraktivt mål, og Ventetid med at patche øger risikovinduet betydeligt.
Med kritiske fjernudførelsesfejl som CVE-2025-55182 i React og CVE-2025-66478 i Next.js er den praktiske konklusion ligetil: antage, at sårbare RSC-slutpunkter vil blive undersøgt, prioritere opgraderinger til hærdede versioner og bruge tilgængelige værktøjer til at lokalisere og beskytte udsatte instanserFor en webstak, der læner sig kraftigt op ad React og de omkringliggende frameworks, vil rettidig afhjælpning nu sandsynligvis betale sig i færre nødsituationer senere.
