Krytyczna podatność w React Server Components
CSIRT CeZ ostrzega: wykryto krytyczną podatność w React Server Components (RSC), która umożliwia zdalne wykonanie kodu (RCE) na serwerze bez konieczności logowania. Atakujący może wykorzystać niebezpieczne przetwarzanie payloadów w punktach końcowych obsługujących funkcje serwerowe, co pozwala na wstrzyknięcie lub manipulację danymi przed uwierzytelnieniem.
Charakterystyka podatności
- Oznaczenie: CVE-2025-55182
- Score CVSS: 10,0 (Critical)
Jak działa podatność?
Podatność wynika z błędnej obsługi żądań HTTP w komponentach serwerowych RSC. Mechanizm przetwarzania danych nie weryfikuje poprawnie payloadów, co umożliwia atakującym wykonanie dowolnego kodu na serwerze bez uwierzytelnienia.
Podatne systemy
Aplikacje korzystające z RSC w wersjach:
- 19.0.0
- 19.1.0
- 19.1.1
- 19.2.0
Działania zapobiegawcze
Zalecamy natychmiastową aktualizację pakietów do wersji 19.2.1 lub nowszej:
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Dlaczego to ważne?
Biorąc pod uwagę rosnącą liczbę zagrożeń cybernetycznych i aktywne próby exploitów, priorytetowe wdrożenie poprawek dla CVE-2025-55182 jest kluczowe. Dzięki temu można ograniczyć ryzyko naruszenia bezpieczeństwa i chronić zasoby Twojego podmiotu.