Krytyczna podatność w React Server Components oraz innych aplikacjach z tym rozwiązaniem

Zespół CERT Polska informuje o krytycznej podatności CVE-2025-55182 umożliwiającej zdalne wykonanie kodu w React Server Components (RSC) oraz innych aplikacjach korzystających z RSC, np. Next.js.

Podatność polega na wysłaniu odpowiednio spreparowanego zapytania HTTP, które umożliwi wykonanie dowolnego kodu na serwerze. Wykorzystanie podatności jest trywialne i zostało publicznie opisane, co znacząco zwiększa ryzyko ataków.

Podatność CVE-2025-55182, dotycząca RSC, występuje w wersjach 19.0, 19.1.0, 19.1.1 oraz 19.2.0 następujących modułów:

• react-server-dom-webpack,

• react-server-dom-parcel,

• react-server-dom-turbopack.

Według producenta - w przypadku braku implementacji funkcjonalności tych modułów, aplikacja i tak będzie podatna, ponieważ do wykorzystania luki wystarczy, że dany moduł jest zainstalowany.

Więcej informacji na temat tej podatności można znaleźć na stronie producenta https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Istnieją aplikacje, które do swojego działania wykorzystują lub pobierają podatne moduły. Wśród nich na ten moment można wymienić:

• Next.js,

• react-router,

• waku,

• @parcel/rsc,

• @vitejs/plugin-rsc,

• rwsdk.

Jeżeli korzystają Państwo z tych rozwiązań, lub innych, które wykorzystują podatne moduły, należy jak najszybciej przeprowadzić aktualizację oprogramowania do wersji, które nie zawierają podatności.