Atklāta kritiska ievainojamība React servera komponentēs

Ir atklāta kritiska ievainojamība CVE-2025-55182 React Server Components (RSC) komponentēs, kas pazīstama arī kā React2Shell. Ievainojamībai piešķirts maksimālais CVSS 10.0 novērtējums, jo tā ļauj uzbrucējam bez autentifikācijas veikt attālinātu koda izpildi (RCE).

Ietekmētās komponentes un to versijas:

• react-server-dom-parcel – 19.0, 19.1.0, 19.1.1, 19.2.0
• react-server-dom-turbopack – 19.0, 19.1.0, 19.1.1, 19.2.0
• react-server-dom-webpack – 19.0, 19.1.0, 19.1.1, 19.2.0

Jāņem vērā, ka ievainojamība skar arī vairākus risinājumus, kuros šīs komponentes ir integrētas, tostarp Next.js, React Router, Expo, Redwood SDK, Waku u.c.
 

Ieteikumi

Aicinām sekot ražotāja ieteikumiem un nekavējoties uzstādīt kādu no ražotāja ieteiktajām drošajām versijām:

• RSC 19.0.1, 19.1.2 vai 19.2.1.

Ja tiek izmantots Next.js vai cits risinājums, kas balstās uz RSC, tas atjaunojams uz ražotāja drošajām versijām, piemēram, Next.js gadījumā:

• Next.js 15.0.5+, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
• vai >= Next.js 14.3.0-canary.77 gadījumā jāuzstāda jaunākais stabilais 14.x laidiens.

Papildu informācija:
 

• https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
• https://www.tenable.com/blog/react2shell-cve-2025-55182-react-server-components-rce