React2Shell: критическая уязвимость в RSC (CVE-2025-55182) ...

React2Shell: критическая уязвимость в RSC (CVE-2025-55182)

В экосистеме React и Next.js стало известно о критической уязвимости максимального уровня (CVSS 10), получившей название React2Shell. Она затрагивает React Server Components и может привести к выполнению произвольного кода без аутентификации.

CVE-2025-55182 была раскрыта вчера вечером. По данным Unit 42, под риском почти миллион серверов. По оценкам Wiz, уязвимыми могут оказаться до 40% облачных инфраструктур. Cloudflare уже внедрила временные меры защиты.

Проблема затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие. Эксплойт возможен даже в библиотеках, которые лишь поддерживают RSC. Уязвимость связана с некорректной обработкой сериализованных полезных нагрузок, что в конечном итоге может привести к удалённому выполнению кода.

Если ваши проекты используют React, Next.js или библиотеки с поддержкой RSC, важно как можно скорее обновить зависимости. Это поможет снизить риски и обеспечить безопасность вашей инфраструктуры.