[61/2025] Krytyczna podatność w React Server Components oraz innych aplikacjach z tym rozwiązaniem
Zespół CERT Polska informuje o krytycznej podatności CVE-2025-55182 umożliwiającej zdalne wykonanie kodu w React Server Components (RSC) oraz innych aplikacjach korzystających z RSC, np. Next.js.
Podatność polega na wysłaniu odpowiednio spreparowanego zapytania HTTP, które umożliwi wykonanie dowolnego kodu na serwerze. Wykorzystanie podatności jest trywialne i zostało publicznie opisane, co znacząco zwiększa ryzyko ataków.
Podatność CVE-2025-55182, dotycząca RSC, występuje w wersjach 19.0, 19.1.0, 19.1.1 oraz 19.2.0 następujących modułów:
react-server-dom-webpack,
react-server-dom-parcel,
react-server-dom-turbopack.
Według producenta - w przypadku braku implementacji funkcjonalności tych modułów, aplikacja i tak będzie podatna, ponieważ do wykorzystania luki wystarczy, że dany moduł jest zainstalowany.
Więcej informacji na temat tej podatności można znaleźć na stronie producenta https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Istnieją aplikacje, które do swojego działania wykorzystują lub pobierają podatne moduły. Wśród nich na ten moment można wymienić:
Next.js,
react-router,
waku,
@parcel/rsc,
@vitejs/plugin-rsc,
rwsdk.
Jeżeli korzystają Państwo z tych rozwiązań, lub innych, które wykorzystują podatne moduły, należy jak najszybciej przeprowadzić aktualizację oprogramowania do wersji, które nie zawierają podatności.