118 подписчиков

🚨 Критическая уязвимость в React / Next.js

11 декабря 202511 дек 2025

1 мин

🔴 Уязвимость получила максимальный рейтинг по шкале CVSS — 10.0.

⚠️ Основное:

- Уязвимость связана с небезопасной десериализацией данных при вызове Server Function эндпоинтов.

- Уязвимости подвержены React версий: 19.0, 19.1.0, 19.1.1, 19.2.0, а также пакеты react-server-dom-*.

- Уязвим не только React, но и фреймворки/бандлеры: Next.js, React Router RSC, Vite RSC, Parcel RSC, Waku и другие.

- Риск сохраняется даже если вы не используете Server Function эндпоинты напрямую.

🎯 Кто под угрозой:

Любые проекты, использующие React Server Components или фреймворки на их базе — особенно публичные веб-серверы.

📌 Что делать:

# Обновить React до пропатченных версий: 19.0.1, 19.1.2, 19.2.1

npm install react@19.0.1 react-dom@19.0.1 // для 19.0.x

npm install react@19.1.2 r

🔴 Уязвимость получила максимальный рейтинг по шкале CVSS — 10.0.

⚠️ Основное:

- Уязвимость связана с небезопасной десериализацией данных при вызове Server Function эндпоинтов.

- Уязвимости подвержены React версий: 19.0, 19.1.0, 19.1.1, 19.2.0, а также пакеты react-server-dom-*.

- Уязвим не только React, но и фреймворки/бандлеры: Next.js, React Router RSC, Vite RSC, Parcel RSC, Waku и другие.

- Риск сохраняется даже если вы не используете Server Function эндпоинты напрямую.

🎯 Кто под угрозой:

Любые проекты, использующие React Server Components или фреймворки на их базе — особенно публичные веб-серверы.

📌 Что делать:

# Обновить React до пропатченных версий: 19.0.1, 19.1.2, 19.2.1

npm install react@19.0.1 react-dom@19.0.1 // для 19.0.x

npm install react@19.1.2 r

3 декабря 2025 была опубликована информация о серьезной уязвимости в React Server Components (RSC), получившей идентификатор CVE-2025-55182. Уязвимость позволяет удаленно запустить код на сервере без аутентификации.

🔴 Уязвимость получила максимальный рейтинг по шкале CVSS — 10.0.

⚠️ Основное:

- Уязвимость связана с небезопасной десериализацией данных при вызове Server Function эндпоинтов.

- Уязвимости подвержены React версий: 19.0, 19.1.0, 19.1.1, 19.2.0, а также пакеты react-server-dom-*.

- Уязвим не только React, но и фреймворки/бандлеры: Next.js, React Router RSC, Vite RSC, Parcel RSC, Waku и другие.

- Риск сохраняется даже если вы не используете Server Function эндпоинты напрямую.

🎯 Кто под угрозой:

Любые проекты, использующие React Server Components или фреймворки на их базе — особенно публичные веб-серверы.

📌 Что делать:

# Обновить React до пропатченных версий: 19.0.1, 19.1.2, 19.2.1
npm install react@19.0.1 react-dom@19.0.1 // для 19.0.x
npm install react@19.1.2 react-dom@19.1.2 // для 19.1.x
npm install react@19.2.1 react-dom@19.2.1 // для 19.2.x

# Обновить Next.js до пропатченных версий (например, 15.0.5, 15.1.9, 16.0.7 и др.)
npm install next@15.0.5 // для 15.0.x
npm install next@15.1.9 // для 15.1.x
npm install next@15.2.6 // для 15.2.x
npm install next@15.3.6 // для 15.3.x
npm install next@15.4.8 // для 15.4.x
npm install next@15.5.7 // для 15.5.x
npm install next@16.0.7 // для 16.0.x

# Проверить зависимости бандлеров и плагинов (react-server-dom-*, @vitejs/plugin-rsc, parcel-rsc и т.п.)
npm install react-server-dom-webpack@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-turbopack@latest

# Обновить Docker-контейнеры и зависимости
Если вы собираете образ самостоятельно, убедитесь, что он собран с последними версиями зависимостей.
Если вы используете образ из интернета, проверьте, что версия образа содержит актуальные обновления и не использует уязвимые зависимости.

Больше инструкций для различных фреймворков и компонентов вы можете найти в официальной новости (список дополняется).

🔐 Клиентам, которые подвержены уязвимости в ближайшее время придет письмо на контактную почту, указанную в аккаунте, но мы рекомендуем также самостоятельно проверить свои проекты.

#безопасность #уязвимость_RSC #React_Server_Components #BegetCloud

источник Beget ... ws-soft.ru