От 10 000 до 25 000 российских веб-ресурсов могут быть под ударом из-за новой критической уязвимости
Критическая уязвимость в React Server Components (CVE-2025-55182) и Next.js (CVE-2025-66478) позволяет атакующим выполнять произвольный код на сервере.
В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Уязвимость также затронула приложения Next.js (CVE-2025-66478).
Павел Загуменнов, руководитель решений анализа защищенности BI.ZONE: «По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тысяч российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например BI.ZONE CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее».
Уязвимы компоненты React версий 19.0; 19.1.0; 19.1.1; 19.2.0.
Уязвимы следующие пакеты React:
| react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack |
Дополнительно уязвимость затронула перечисленные ниже фреймворки:
| nextreact-routerwaku@parcel/rsc@vitejs/plugin-rscrwsdk |
В случае Next.js уязвимы версии:
| Next.js 15.xNext.js 16.xNext.js 14.3.0-canary.77 и более новые canary-релизы |
Эксплуатация уязвимости уже блокируется BI.ZONE WAF.
Дополнительная информация:
· https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
