Критический RCE в компонентах React Server CVE-2025-55182 и CVE-2025-66478: Что это значит для команд по безопасности

Подробности

Что было обнаружено?

Критическая уязвимость, позволяющая выполнять удаленный код (RCE) без аутентификации, была обнаружена в React Server Components (RSC) и зарегистрирована под номером CVE-2025-55182 (а также связана с ней уязвимость CVE-2025-66478 в next.js, который построен на React).

Другими словами: специально созданный HTTP-запрос, направленный на уязвимый компонент RSC «Flight», может привести к полному выполнению кода на стороне сервера без необходимости аутентификации.

Кого это касается?

Уязвимы все приложения, которые используют React 19 (версии 19.0.0, 19.1.0, 19.1.1 и 19.2.0) с включенными серверными компонентами.
Next.js, построенный на базе React RSC, также испытывает влияние. Уязвимые версии: Next.js: 14.3.0-canary, 15.x и 16.x (App Router)
Кроме React и Next.js, любые инструменты, пакеты или плагины, объединяющие уязвимые модули react-server-dom-*, могут быть также в зоне риска.
Ввиду повсеместной распространенности React и популярности приложений на базе Next.js, это потенциально влияет на огромную часть веб-сервисов, информационных панелей и веб-приложений, размещаемых в облаке, по всему миру, независимо от отрасли или географического положения.

Какое потенциальное влияние?

Полный захват сервера: Уязвимость позволяет выполнять не аутентифицированный удаленный код на сервере пораженной программы. Это может обеспечить немедленное внешнее проникновение и привести к полной компрометации системы.
Легкость эксплуатации + отсутствие предпосылок: Поскольку для эксплуатации нужен только специально сформированный HTTP-запрос, без аутентификации, без специальных привилегий, а стандартные конфигурации уже уязвимы, площадь атаки очень велика.
Утечка данных, утечка секретной информации, нарушение работы сервиса: Любые конфиденциальные данные, хранящиеся или обрабатываемые на сервере (данные пользователей, учетные данные, токены, конфигурационные файлы), могут быть скомпрометированы. Злоумышленники могут изменять данные, похищать секретную информацию или нарушать доступность сервиса.

Тестирование: Шаблоны и сценарии атак Cymulate

Чтобы помочь командам по безопасности проверить, подвержены ли их среды риску, Cymulate выпустила три новых сценария атак и два новых шаблона атак в Cymulate Exposure Validation.

4 декабря 2025 года Cymulate выпустила первый сценарий атаки React2Shell Scanner (CVE-2025-55182 и CVE-2025-66478), чтобы проверить и подтвердить обнаружение угроз в SIEM и безопасности конечных точек.

cymulate решения купить

cymulate

Из-за значительных рисков, связанных с эксплуатацией, компания Cymulate выпустила автономный инструмент React2Shell-Scanner, позволяющий любой команде по безопасности проверять и подтверждать способность своих средств безопасности обнаруживать атаки, использующие эти уязвимости.

Это неинтрузивный сканер, нацеленный на CVE-2025-55182 (и CVE-2025-66478), который присылает безвредные, безопасные полезные данные, запуская уязвимую логику десериализации, но не выполняя вредоносный код, а затем анализирует ответы сервера, чтобы выявить, демонстрирует ли сервер характерные для незащищенной реализации RSC шаблоны ошибок.

На практике это означает, что вы можете проактивно тестировать свои общедоступные (или внутренние) серверы React/Next.js для оценки уязвимости без минимального риска.

При ручной проверке React или Next.js символ курсора (^) перед номером версии указывает, что установлена минимальная версия, но менеджер пакетов может автоматически устанавливать более новые минорные и патч-версии в рамках одного основного выпуска.

Например, «react»: «^19.0.0» гарантирует, что версия не будет ниже 19.0.0, но при развертывании или переустановке может быть установлена версия 19.0.1 или более поздняя совместимая версия 19.x.x. Это означает, что проект может использовать исправленную версию, даже если базовый манифест выглядит уязвимым. В результате команды должны подтвердить фактическую установленную версию (с помощью файлов блокировки или аудита зависимостей).

8 декабря 2025 года Cymulate опубликовали сценарий атаки CVE-2025-55182/CVE-2025-66478 – React RSC Flight deserialization, чтобы протестировать и проверить защиту WAF и систему оповещения с помощью симуляции атак на основе запросов RSC Flight deserializinje, содержащих prototype-pollution и JavaScript-injection.

cymulate решения

После наблюдения за тем, как злоумышленники используют эту уязвимость, 9 декабря Cymulate опубликовали новые сценарии атак на основе IOC в ленте угроз, чтобы протестировать и проверить безопасность конечных точек и защиту периметра.

bas cymulate

Учитывая эти новые сценарии атак

Cymulate опубликовали два новых шаблона проверки уязвимости, которые применяют эти сценарии атак в сложных кампаниях, использующих уязвимость и имитирующих продвинутые тактики, применяемые такими группами, как UNC5174, северокорейские и китайские злоумышленники, а также другими участниками кампаний по распространению программ-требователей, шпионажа или криптоджекинга.

Эти новые шаблоны проверки уязвимости можно найти в разделе «Продвинутые атаки (APT и TA)» под следующими названиями:

Симуляция использования компонентов React Server
Симуляция React2Shell RCE

Бесплатный инструмент для каждой команды безопасности для проверки угрозы

Из-за значительных рисков, связанных с эксплуатацией, Cymulate выпустила автономный инструмент React2Shell-Scanner для любой команды безопасности, чтобы проверить и подтвердить способность их средств безопасности обнаруживать атаки, эксплуатирующие эти уязвимости.

Это неинтрузивный сканер, ориентированный на CVE-2025-55182 (и CVE-2025-66478), который посылает безвредные, безопасные полезные данные, запуская уязвимую логику десериализации, но не выполняя вредоносный код, а затем анализирует ответы сервера RSC.