Principais Pontos
- CVE-2025-55184 é uma vulnerabilidade de negação de serviço (DoS) em React Server Components (RSC), não uma falha de execução remota de código.
- O problema está intimamente relacionado ao React2Shell (CVE-2025-55182) e se origina da mesma camada de desserialização do protocolo React Flight.
- Aikido já detecta CVE-2025-55184 e fornece um checklist no aplicativo para ajudar as equipes a verificar se estão realmente expostas e totalmente remediadas.
- Uma requisição especialmente elaborada pode desencadear um loop infinito ou um estado de travamento, tornando os servidores afetados sem resposta.
- Um patch inicial incompleto levou a uma vulnerabilidade subsequente, CVE-2025-67779, o que significa que algumas equipes devem fazer o upgrade novamente.
- A maioria dos aplicativos impactados usa Next.js App Router ou outros frameworks habilitados para RSC.
TL;DR: Você Ainda Está em Risco?
Se você fez o upgrade apenas para resolver CVE-2025-55182 (React2Shell), você ainda pode estar vulnerável.
CVE-2025-55184 afeta caminhos de código RSC adjacentes e pode permitir que invasores tirem seu aplicativo do ar, mesmo sem obter execução de código. Você deve garantir que está executando as versões mais recentes e corrigidas do React e Next.js, incluindo as correções para a vulnerabilidade subsequente CVE-2025-67779.
Etapas de Remediação
1. Faça o Upgrade dos Pacotes React e RSC
Garanta que você está executando as versões mais recentes e corrigidas do React que abordam completamente os problemas de RCE e DoS na lógica de desserialização do protocolo Flight.
2. Faça o Upgrade dos Frameworks Next.js e RSC
- Usuários do Next.js devem fazer o upgrade para a versão corrigida mais recente em sua linha de versão principal.
- Aplicativos que usam o App Router ou Server Functions são os mais expostos.
- Evite depender apenas dos patches iniciais pós-React2Shell, pois alguns estavam incompletos.
3. Faça uma Nova Varredura para CVEs Subsequentes
Como a correção inicial de CVE-2025-55184 estava incompleta, você deve confirmar que:
- CVE-2025-67779 também está remediada
- Nenhuma dependência RSC transitiva vulnerável permanece
4. Valide com Aikido
Execute uma nova varredura para verificar:
- Pacotes RSC vulneráveis são completamente removidos
- Caminhos de serialização afetados não são mais acessíveis
- Sua atualização realmente elimina a exposição de runtime, não apenas a flag de dependência
Contexto
Em 3 de dezembro, o ecossistema React foi abalado por uma vulnerabilidade crítica de execução remota de código em React Server Components, CVE-2025-55182, amplamente conhecida como React2Shell. Em nosso blog anterior, exploramos como a desserialização insegura no protocolo “Flight” do RSC permitia que atacantes não autenticados enviassem requisições HTTP maliciosas que poderiam levar à tomada completa do servidor em aplicações React/Next.js padrão.
Desde então, enquanto a indústria se apressava para corrigir e proteger contra a 55182, fraquezas adicionais foram descobertas em caminhos de código adjacentes, levando a novos avisos de segurança e CVEs. Uma delas é a CVE-2025-55184, que, embora não seja uma falha de execução remota de código como a React2Shell, ainda representa um sério risco à disponibilidade.
Análise Detalhada
O que é a CVE-2025-55184?
A CVE-2025-55184 é uma vulnerabilidade de negação de serviço causada pelo tratamento inseguro de entrada especialmente elaborada no runtime dos React Server Components.
Um atacante pode enviar uma requisição RSC malformada que:
- Aciona um loop infinito, ou
- Força o servidor a um estado de travamento
Uma vez acionado, o servidor pode parar de responder ao tráfego legítimo até ser reiniciado.
Como se relaciona com o React2Shell
Essas vulnerabilidades não são bugs independentes:
- Ambas derivam do protocolo React Flight, que permite que dados estruturados do cliente influenciem a renderização e execução no lado do servidor.
- A CVE-2025-55184 foi descoberta durante auditorias após o React2Shell, enquanto pesquisadores exploravam a lógica de desserialização adjacente.
- Problemas adicionais relacionados surgiram, incluindo:
- CVE-2025-55183 (exposição de código-fonte)
- CVE-2025-67779 (correção incompleta para a 55184)
- CVE-2025-55183 (exposição de código-fonte)
Este padrão destaca uma superfície de risco sistêmica no design de serialização do RSC.
Por que ataques de disponibilidade ainda importam
Ao contrário do React2Shell:
- Atacantes não obtêm acesso ao shell
- Nenhuma execução arbitrária de código ocorre
Mas:
- Servidores podem ser desativados remotamente
- Ataques não são autenticados
- Exploração repetida pode causar interrupções, degradação de desempenho ou reinícios forçados
Para muitas equipes, o tempo de inatividade é tão prejudicial quanto um comprometimento.
Quem é Afetado?
Você pode ser impactado se sua aplicação:
- Usa React Server Components
- Executa o Next.js App Router
- Expõe Server Functions ou endpoints RSC
- Não foi totalmente atualizada após os avisos de segurança de React/Next.js de dezembro
Mesmo que você não use explicitamente lógica de servidor, as configurações padrão do framework ainda podem expor os caminhos de código vulneráveis.
Severidade
- Pontuação CVE: Alta (Impacto na disponibilidade)
- Impacto: Negação de serviço
- Vetor de Ataque: Remoto, não autenticado
- Explorabilidade: Baixa complexidade
Cronograma
- Final de novembro: React2Shell (CVE-2025-55182) divulgado
- Início de dezembro: Fraquezas adicionais de RSC descobertas
- 3 a 5 de dezembro: CVE-2025-55184 divulgado e corrigido
- Dias seguintes: Correção incompleta identificada → CVE-2025-67779 emitido
Escaneie Seu Código-fonte Agora
Aikido rastreia CVE-2025-55184, CVE-2025-67779 e a família mais ampla de vulnerabilidades relacionadas a RSC.
Conecte seus repositórios para:
- Identificar versões vulneráveis de React e Next.js
- Determinar se os caminhos RSC de risco são realmente alcançáveis
- Valide que suas atualizações eliminem completamente a exposição
Comece a escanear gratuitamente com Aikido.
