- Kritisk CVE-2025-55182-fejl i React Server Components muliggør uautoriseret fjernudførelse af kode via usikker deserialisering.
- Problemet spreder sig nedstrøms til Next.js som CVE-2025-66478, hvor begge sårbarheder er vurderet til maksimal alvorlighed (CVSS 10).
- Standardkonfigurationer er afsløret, og forskere rapporterer næsten 100% pålidelighed i udnyttelsen på tværs af mange virkelige miljøer.
- Leverandører har udgivet vejledninger og programrettelser, og organisationer, der bruger React eller Next.js, bør opdatere og gennemgå deres implementeringer med det samme.
Afsløringen af CVE-2025-55182 i React Server Components og dens relaterede indvirkning på Next.js er hurtigt blevet en af de mest omtalte sikkerhedshistorier i webudviklingsverdenen. Fejlen afslører en kritisk vej for angribere til at opnå fjernudførelse af kode på servere, der er afhængige af disse enormt populære teknologier.
For teams, der har taget den moderne React- og Next.js-stak til sig, er dette ikke en abstrakt akademisk fejl. Sikkerhedsforskere advarer om, at udnyttelse er både realistisk og yderst pålidelig, og at standardkonfigurationer uventet efterlader mange produktionsimplementeringer åbne for angreb, hvis de ikke opdateres hurtigt.
“React2Shell”: Den kritiske sårbarhed, der ryster internettet – og hvorfor den er vigtig
Sårbarheden i centrum af denne situation, offentligt sporet som CVE-2025-55182, påvirker protokollen bag React Server Components (RSC). Forskere har givet angrebsstien øgenavnet "React2Shell" for at understrege, at et vellykket angreb kan gå fra en udformet RSC-anmodning til fuld adgang på shell-niveau på den underliggende server.
På et højt niveau dukker fejlen op pga. usikker deserialisering af nyttelast leveret til React Server Function-slutpunkterNår en serverkomponent behandler disse specialfremstillede nyttelast, kan en angriber skifte fra tilsyneladende godartet datahåndtering til vilkårlig kodeudførelse uden at skulle godkende.
Selvom roden til problemet ligger i React open source-implementeringen, stopper dens indflydelse ikke der. Next.js, som bygger oven på React og er meget brugt til produktionsbaserede applikationer, arver problemet i sin håndtering af server-side logik. Denne downstream-risiko er katalogiseret separat som CVE-2025-66478, hvilket effektivt udvider eksplosionsradiusen på tværs af en stor del af den moderne webstak.
Både CVE-2025-55182 og dens Next.js-modstykke er blevet tildelt den maksimale sværhedsgrad på 10 under det fælles system til pointgivning af sårbarheder. Denne vurdering afspejler kombinationen af fjernudnyttelsesmulighed, manglende godkendelseskrav og potentiale for fuldstændig systemkompromittering.
Hvad er React2Shell – og hvordan fungerer det?
Under motorhjelmen er React Server Components afhængige af en protokol, hvor klienten og serveren udveksler serialiserede nyttelast for at håndtere server-side rendering og logik. Kernen i React2Shell er, at Disse nyttelaster kan manipuleres på en måde, der udløser usikker deserialisering, hvilket effektivt tillader angriberkontrolleret input at blive fortolket som eksekverbare instruktioner på serveren.
I et typisk angrebsscenarie fremstiller en modstander en ondsindet nyttelast, der er rettet mod en React Server-funktionsslutpunkt eksponeret af en applikationDa sårbarheden kan udløses uden godkendelse, behøver angriberen kun netværksadgang til endpointen for at forsøge at udnytte den.
Når den skadelige nyttelast er behandlet, kan serveren afserialisere den på en usikker måde, hvilket effektivt slører grænsen mellem data og kode. Dette åbner døren for fjernudførelse af kode, hvilket giver angriberen mulighed for at køre vilkårlige kommandoer med serverprocessens tilladelser.
Ifølge resultater, der er offentliggjort af forskere fra Wiz, er udnyttelsesstien ikke kun teoretisk. Under interne eksperimenter rapporterede de "high fidelity"-udnyttelse med succesrater på næsten 100% i miljøer, de testede. Det niveau af pålidelighed sænker barrieren for angribere dramatisk og øger vigtigheden for forsvarere, som illustreret i de seneste tilfælde af ataques a la cadena de suministro de npm.
Det, der gør dette særligt bekymrende for praktikere, er, at Den sårbare adfærd er til stede i standardkonfigurationerMed andre ord behøvede udviklere ikke nødvendigvis at vælge usikre indstillinger; mange applikationer er eksponeret, simpelthen fordi de bruger den anbefalede standardstak.
Omfang og effekt: Hvorfor så mange projekter er i fare
De involverede teknologier gør dette til et særligt udbredt problem. React, der blev født på Facebook og nu vedligeholdes som et open source-bibliotek, understøtter en stor del af moderne webgrænseflader. på grund af sin komponentbaserede model og økosystem. Next.js, der vedligeholdes af Vercel, er blevet et populært framework til at bygge produktionsklare React-applikationer med server-side rendering og API-ruter.
På grund af denne popularitet er antallet af berørte implementeringer ikke ubetydeligt. Wiz-forskere anslog, at omkring 40% af de cloud-miljøer, de undersøgte, indeholdt sårbare React- eller Next.js-instanser.Dette øjebliksbillede tyder på, at fejlen ikke er et randtilfælde, men et almindeligt problem på tværs af en bred vifte af organisationer og brancher.
Den praktiske konsekvens af et vellykket angreb kan være alvorlig. Når angribere opnår fjernudførelse af kode via CVE-2025-55182 eller den tilhørende Next.js-sårbarhed, kan de potentielt få adgang til følsomme data, bevæge sig lateralt inden for miljøet, plante bagdøre eller bruge kompromitterede servere som mellemstationer for yderligere angreb.
Benjamin Harris, grundlægger og administrerende direktør for watchTowr, fremhævede, at selvom offentlige tekniske detaljer stadig er relativt begrænsede, Udgivelsen af patches er nok til at vejlede målrettede angribereNår de begynder at gennemgå kodeændringer og rådgivende noter, bliver det betydeligt nemmere at reproducere angrebsstien og gøre den til et våben i naturen.
Den dynamik – at programrettelser offentliggøres før udbredt afhjælpning – skaber ofte et kapløb. Organisationer konkurrerer nu effektivt med trusselsaktører at implementere rettelser og afhjælpningstrin, før angrebsforsøg intensiveres.
Hvorfor React2Shell er særligt farligt
En række faktorer tilsammen får denne sårbarhed til at skille sig ud fra den sædvanlige strøm af sikkerhedsmeddelelser. For det første, Manglen på godkendelseskrav betyder, at anonyme angribere kan målrette eksponerede endpoints direkteEthvert offentligt tilgængeligt serverkomponent-slutpunkt bliver øjeblikkeligt en del af angrebsfladen.
For det andet fører den måde, fejlen manifesterer sig på i virkelige opsætninger, til ekstremt høj udnyttelsespålidelighedSom Wiz rapporterede, fungerede angrebsstien næsten hver gang i deres proof-of-concept-scenarier under typiske konfigurationer, hvilket reducerede behovet for komplekse eller skrøbelige angrebskæder.
For det tredje rammer problemet kernen i, hvordan React Server Components og Next.js håndterer server-side logik. Fordi fejlen er knyttet til selve RSC-protokollen og ikke blot en smal kantfunktion, arver mange applikationer risikoen blot ved at følge standardmønstre, der promoveres af officiel dokumentation.
Endelig er den bredere økosystemkontekst vigtig. React og Next.js er dybt integreret i cloud-native og microservices-arkitekturer der driver alt fra små startups til store virksomheder. En enkelt kompromitteret serverkomponent kan give et indgangspunkt til et meget større og mere komplekst miljø.
Tilsammen forklarer disse egenskaber, hvorfor sårbarhederne begge er blevet vurderet til det maksimale alvorlighedsniveau, og hvorfor sikkerhedsmiljøet er stærkt opmuntrende. hurtig patching og proaktiv risikovurdering snarere end en afventende tilgang.
Hvad der allerede gøres (og hvad du bør gøre lige nu)
Da problemet blev rapporteret via Meta Bug Bounty-programmet — Forsker Lachlan Davidson underrettede React-teamet den 29. november — Vedligeholdere er gået i gang med at undersøge, rette og koordinere offentliggørelse. React-projektet og Vercel, virksomheden bag Next.js, har nu begge udgivet vejledninger, der skal hjælpe brugere med at opdatere deres software.
Fra sælgersiden, Opdaterede udgivelser og rådgivende noter beskriver, hvilke versioner der er berørt, og hvordan man opgradererOrganisationer, der bruger React Server Components eller Next.js, bør omhyggeligt gennemgå disse dokumenter, identificere hvilke implementeringer der er omfattet, og planlægge opdateringer som en topprioritet.
Da standardkonfigurationer er sårbare, er det risikabelt blot at antage, at "brugerdefinerede indstillinger" eller minimal brug vil tilbyde beskyttelse. Sikkerhedsteams bør lave en opgørelse over alle applikationer, der er afhængige af React Server Components eller Next.jsmed særlig opmærksomhed på offentligt tilgængelige slutpunkter, der er eksponeret for internettet.
Selvom implementering af programrettelser er det første skridt, er det også fornuftigt at overveje kortsigtede afbødninger. Begrænsning af unødvendig offentlig eksponering af serverkomponent-slutpunkter, stramme netværksadgangskontroller, hvor det er muligt, og forbedre overvågningen af mistænkelige anmodningsmønstre kan alle reducere risikoen, mens opdateringer rulles ud, desuden kan de revideres gestión segura de secretos en GitHub Actions.
Organisationer ønsker måske også at arbejde tæt sammen med deres udviklingsteams for at gennemgå logføring, planer for hændelser og eventuelle tegn på usædvanlig aktivitet omkring React- eller Next.js-tjenester, inklusive brug af Burp Collaborator til detectar interacciones fuera de banda.
Hvad dette betyder for webøkosystemet – og hvad man skal holde øje med
Fremkomsten af CVE-2025-55182 og dens Next.js-modstykke rejser bredere spørgsmål om hvordan hurtigt udviklende webframeworks håndterer sikkerhed i komplekse server-side funktionerReact Server-komponenter er, selvom de er kraftfulde, nye kommunikationsmønstre og serialiseringslogik, der kræver grundig granskning.
For det bredere økosystem er denne hændelse en påmindelse om, at selv modne, bredt anvendte teknologier kan rumme storskadelige sårbarheder med rod i subtile implementeringsdetaljerKombinationen af ydeevneoptimeringer, brugervenlighed for udviklere og fleksible API'er kan nogle gange maskere dybe sikkerhedsantagelser, indtil de stresstestes af forskere.
Fremadrettet er det sandsynligt, at både React- og Next.js-fællesskaberne vil se øget fokus på sikker håndtering af serverfunktioner, serialisering af nyttelast og standardkonfigurationerSikkerhedsbevidste organisationer kan også presse på for klarere vejledning, mere eksplicitte sikkerhedsforanstaltninger og udvidet dokumentation om sikre praksisser ved opbygning med serverkomponenter.
I mellemtiden bør forsvarere nøje følge opdateringer fra officielle projektkanaler, sikkerhedsleverandører og forskere, der fortsætter med at analysere sårbarheden. Nye konceptbeviser, detektionsregler og anbefalinger til bedste praksis vil sandsynligvis dukke op, efterhånden som flere eksperter dykker ned i detaljerne om React2Shell og dets varianter.
I sidste ende understreger denne episode, at Det er en løbende proces at holde moderne webstacks sikre, ikke en engangsopsætningsopgave. I takt med at frameworks udvikler sig, udvikler deres potentielle angrebsflader sig også, og de organisationer, der tilpasser sig hurtigt, har en tendens til at klare sig bedre, når kritiske fejl kommer frem i lyset.
For ethvert team, der er afhængig af React eller Next.js i produktion, fungerer CVE-2025-55182 som et klart signal: Behandl server-side funktioner med samme sikkerhedsmæssige krav som enhver anden kritisk infrastruktur, hold dig opdateret om advarsler opstrøms, og vær klar til at handle hurtigt, når der opstår problemer med denne grad af nedslagsflade.
Denne dækning trækker på oplysninger, der oprindeligt blev offentliggjort af cybersikkerhedsfokuserede forretninger og leverandørrådgivninger, og fremhæver, hvordan React2Shell er hurtigt gået fra privat rapport til hasteprioritet for organisationer på tværs af nettet.
