Информация о событии безопасности aa6c0ede6b28162a2305033d80d67ea7

Информация об атаке

Tag
CVE-2025-55182

Date
2026-04-01

Client IP
44.234.89.126

Client GEO
united states

Vendor
Meta

Product
React

RAW request
POST / HTTP/1.0 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/█████████ Safari/537.36 Host: ███████████ Content-Type: application/x-www-form-urlencoded Content-Length: 13 X-Forwarded-For: █████████████ Accept-Encoding: gzip, deflate Accept: / Next-Action: x X-Nextjs-Request-Id: 0509e039 Connection: close need_fuck=yes

RAW request

POST / HTTP/1.0
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/█████████ Safari/537.36
Host: ███████████
Content-Type: application/x-www-form-urlencoded
Content-Length: 13
X-Forwarded-For: █████████████
Accept-Encoding: gzip, deflate
Accept: */*
Next-Action: x
X-Nextjs-Request-Id: 0509e039
Connection: close

need_fuck=yes

Description
CVE-2025-55182 затрагивает пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0. :contentReference Причина — небезопасная десериализация данных, полученных через протокол “Flight” у React Server Components: сервер принимает HTTP-запрос с payload, неправильно проверяет содержимое и приводит его к JS-структурам, что даёт возможность вставить вредоносные объекты (включая proto и др.). Это может привести к “prototype pollution” и/или выполнению произвольного JS-/OS-кода на сервере. Для эксплуатации не требуется аутентификация, сложность атаки низкая — достаточно одного HTTP-запроса. Учитывая широкое распространение React и фреймворков/сборщиков, использующих RSC (например Next.js, React Router, Waku, Parcel- и Vite-RSC, rwsdk и др.), большое число приложений и сервисов могут быть под угрозой. Уязвимость была публично раскрыта 3 декабря 2025 года, и вскоре после этого были выпущены патчи.

Description

CVE-2025-55182 затрагивает пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0. :contentReference

Причина — небезопасная десериализация данных, полученных через протокол “Flight” у React Server Components: сервер принимает HTTP-запрос с payload, неправильно проверяет содержимое и приводит его к JS-структурам, что даёт возможность вставить вредоносные объекты (включая proto и др.). Это может привести к “prototype pollution” и/или выполнению произвольного JS-/OS-кода на сервере.

Для эксплуатации не требуется аутентификация, сложность атаки низкая — достаточно одного HTTP-запроса.

Учитывая широкое распространение React и фреймворков/сборщиков, использующих RSC (например Next.js, React Router, Waku, Parcel- и Vite-RSC, rwsdk и др.), большое число приложений и сервисов могут быть под угрозой.

Уязвимость была публично раскрыта 3 декабря 2025 года, и вскоре после этого были выпущены патчи.

Mitigations
Обновить пакеты React Server Components: немедленно обновите vuln-пакеты до безопасных версий (react-server-dom-webpack/parcel/turbopack → 19.0.1, 19.1.2 или 19.2.1). Проверить зависимости: Проверьте, используются ли во фреймворках или сборщиках RSC (например Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk), и обновите их до патчей. Отключить или ограничить RSC-эндпоинты: При возможности временно отключите серверные функции React или закройте к ним доступ через firewall / WAF / сетевые правила. Защита на уровне runtime: Используйте WAF, систему обнаружения вторжений, мониторинг поведения и другие средства защиты, чтобы блокировать подозрительные запросы и пост-эксплуатационные действия. Проверка и валидация входящих данных: Пересмотрите логику десериализации, избегайте автоматически десериализовать непроверенные объекты, особенно если приложение принимает JSON/payload от пользователя. Возможно, потребуется дополнительная валидация.

Mitigations


Обновить пакеты React Server Components: немедленно обновите vuln-пакеты до безопасных версий (react-server-dom-webpack/parcel/turbopack → 19.0.1, 19.1.2 или 19.2.1).
Проверить зависимости: Проверьте, используются ли во фреймворках или сборщиках RSC (например Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk), и обновите их до патчей. 
Отключить или ограничить RSC-эндпоинты: При возможности временно отключите серверные функции React или закройте к ним доступ через firewall / WAF / сетевые правила.
Защита на уровне runtime: Используйте WAF, систему обнаружения вторжений, мониторинг поведения и другие средства защиты, чтобы блокировать подозрительные запросы и пост-эксплуатационные действия.
Проверка и валидация входящих данных: Пересмотрите логику десериализации, избегайте автоматически десериализовать непроверенные объекты, особенно если приложение принимает JSON/payload от пользователя. Возможно, потребуется дополнительная валидация.

Links
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Сообщество

Контакты

Cloud

Sattelite

Информация об атаке

Engine

Sattelite

Radar

Cloud

Блог

Сообщество

Контакты