⚠️ CVE-2025-55182 (React2Shell), самая опасная уязвимость 2025 года

⚠️ CVE-2025-55182 (React2Shell), самая опасная уязвимость 2025 года

👨‍💻 На днях стало известно о критической уязвимости в React, получившей максимальный балл по шкале CVSS - 10.0

❔ В чём суть:

- Проблема кроется в механизме серверных компонентов, React Server Components (RSC)

- Уязвимость проявляется при обработке Flight-запросов: из-за небезопасной десериализации потоков данных злоумышленник может отправить один HTTP-запрос и выполнить произвольный код на сервере, без аутентификации

- Затрагиваются версии: React-пакеты react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack v 19.0.0 / 19.1.0 / 19.1.1 / 19.2.0. Также уязвимы целые проекты / фреймворки на их основе, включая Next.js (версии 15.x, 16.x и т.д.)

‼️ Насколько это опасно:

- Уязвимость даёт возможность полного захвата сервера, при наличии на нём RSC

- По оценкам, около ~39 % облачных инфраструктур используют уязвимые версии

- Хотя пока нет массовых подтверждённых атак, готовые PoC-эксплойты уже в открытом доступе, и специалисты предупреждают, что эксплуатация может начаться в любой момент

✅ Что делать прямо сейчас:

- Срочно обновите React, Next.js и зависимые от них пакеты до патченных версий

- При наличии WAF / NGFW — включить соответствующие правила защиты; провайдеры (Cloudflare, AWS, Vercel и др.) уже выкатили патчи / примеры правил

- Проверьте все зависимости, не только основной код

---

Конечно сильный удар по репутации серверных компонентов, но патчи уже есть, обновляемся 🔥

https://www.youtube.com/watch?v=UiCEejcV5N4