Podatność umożliwia zdalne wykonanie kodu (RCE) bez jakiegokolwiek uwierzytelnienia w komponentach React Server Components w wersjach 19.0.0, 19.1.0, 19.1.1 oraz 19.2.0. Jest to podatność krytyczna (CVSS 10.0), aktywnie wykorzystywana w atakach.
▸ Pokaż oryginał (EN)
A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.
Podatny kod w pakietach react-server-dom-parcel, react-server-dom-turbopack oraz react-server-dom-webpack niebezpiecznie deserializuje (unsafe deserialization, CWE-502) dane przesyłane w żądaniach HTTP kierowanych do punktów końcowych Server Function. Atakujący nieuwierzytelniony może spreparować złośliwy payload w żądaniu HTTP, który po deserializacji po stronie serwera doprowadzi do wykonania dowolnego kodu. Podatność nie wymaga żadnej interakcji użytkownika ani specjalnych uprawnień, a jej zakres obejmuje przełamanie granic izolacji (Scope: Changed).
Atakujący może uzyskać pełną kontrolę nad serwerem — przejąć poufne dane, zmodyfikować lub zniszczyć zasoby systemu oraz doprowadzić do niedostępności usługi. Ze względu na brak wymogu uwierzytelnienia podatność stanowi bezpośrednie zagrożenie dla każdej publicznie dostępnej aplikacji opartej na React Server Components w podatnych wersjach.
Należy niezwłocznie zaktualizować pakiety react-server-dom-parcel, react-server-dom-turbopack oraz react-server-dom-webpack do wersji zawierającej poprawkę bezpieczeństwa, zgodnie z oficjalnym komunikatem opublikowanym przez React pod adresem https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu do punktów końcowych Server Function na poziomie firewall lub reverse proxy.
React Server Components w wersjach 19.0.0, 19.1.0, 19.1.1 oraz 19.2.0, w tym pakiety: react-server-dom-parcel, react-server-dom-turbopack oraz react-server-dom-webpack. Dotyczy projektów opartych na Vercel Next.js oraz Facebook React korzystających z tych pakietów.
Podatność została opublikowana 3 grudnia 2025 r. wraz z oficjalnym wpisem na blogu React. AWS opublikował dedykowany wpis ostrzegający przed jej aktywnym wykorzystywaniem.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HFacebook React
APPFacebook19.0.019.1.019.1.119.2.0Vercel Next.js
APPVercel14.3.015.6.016.0.015.3.0 – 15.3.6 (bez)15.4.0 – 15.4.8 (bez)15.5.0 – 15.5.7 (bez)16.0.0 – 16.0.7 (bez)15.2.0 – 15.2.6 (bez)15.1.0 – 15.1.9 (bez)15.0.0 – 15.0.5 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Meta
- Produkti
- React Server Components
- Data dodania do KEVi
- 5 grudnia 2025
- Termin remediation (USA)i
- 12 grudnia 2025(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, przestrzegaj odpowiednich wytycznych BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Meta React Server Components zawiera lukę zdalnego wykonania kodu, która mogłaby umożliwić nieuwierzytelnione zdalne wykonanie kodu poprzez wykorzystanie wady w sposobie, w jaki React dekoduje payloady wysyłane do punktów końcowych React Server Function. Pamiętaj, że CVE-2025-66478 zostały odrzucone, ale jest powiązane z CVE-2025-55182.
▸ Pokaż oryginał (EN)
Meta React Server Components contains a remote code execution vulnerability that could allow unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints. Please note CVE-2025-66478 has been rejected, but it is associated with CVE-2025- 55182.
Powiązane podatności
Pominięcie autoryzacji w middleware Next.js przez nagłówek x-middleware-subrequest
Next.js is a React framework for building full-stack web applications. From 12.2.0 to before 15.5.16 and 16.2....
Next.js is a React framework for building full-stack web applications. From 15.2.0 to before 15.5.16 and 16.2....
Next.js is a React framework for building full-stack web applications. From 15.4.0 to before 15.5.16 and 16.2....
Next.js is a React framework for building full-stack web applications. From 13.4.13 to before 15.5.16 and 16.2...