Principais Pontos
- CVE-2025-55182 é uma vulnerabilidade crítica de execução remota de código em React Server Components.
- Next.js atribui um identificador relacionado, CVE-2025-66478, devido ao uso do mesmo protocolo Flight subjacente.
- As versões vulneráveis incluem react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack em várias versões do React 19.
- Frameworks como Next.js, React Router (modo RSC), Vite RSC plugin, Parcel RSC plugin, RedwoodSDK e Waku empacotam esses pacotes vulneráveis.
- Aikido agora rastreia 10/10 CVE-2025-55182 e o relacionado Next.js CVE-2025-66478. Conecte seus repos para escanear.
TLDR: Veja Como Você É Afetado
Aikido agora rastreia CVE-2025-55182 e o relacionado Next.js CVE-2025-66478. Conecte seus repositórios para determinar se sua aplicação ou suas dependências incluem implementações vulneráveis de React Server Component.
Etapas de Remediação
1. Atualize o React
Instale uma versão corrigida do React, como 19.0.1, 19.1.2 ou 19.2.1. Essas versões incluem um tratamento de entrada mais robusto.
2. Atualize Frameworks Que Empacotam RSC
Atualize seu framework para sua versão corrigida correspondente.
Usuários do Next.js devem fazer o upgrade para a última versão corrigida dentro de sua linha de versão principal.
Qualquer pessoa em uma versão canary a partir de 14.3.0-canary.77 deve voltar para a última versão estável 14.x.
3. Atualize Bundlers e Plugins Habilitados para RSC
Certifique-se de atualizar:
- Vite RSC plugin
- Parcel RSC plugin
- React Router RSC preview
- RedwoodSDK
- Waku
Cada um lançou versões que incluem a implementação RSC corrigida.
4. Valide com Aikido
Após o upgrade, execute uma varredura para confirmar que:
- Todas as versões vulneráveis foram removidas
- Nenhuma dependência transitiva permanece afetada
- Integrações de framework e bundler estão totalmente corrigidas
Contexto
A CVE-2025-55182 é uma vulnerabilidade crítica de execução remota de código não autenticada que afeta os React Server Components. Ela também afeta o ecossistema mais amplo de frameworks que dependem do protocolo React Flight. O Next.js atribuiu a CVE-2025-66478 para rastrear sua exposição, que decorre do mesmo problema subjacente.
A vulnerabilidade permite que requisições especialmente elaboradas acionem um comportamento de desserialização inseguro dentro da implementação RSC do lado do servidor, o que pode levar à execução remota de código sob certas condições. Ela afeta as versões do React 19.0, 19.1.0, 19.1.1 e 19.2.0, bem como integrações downstream que incorporam esses pacotes.
Análise Detalhada
Natureza da Vulnerabilidade
O problema decorre do manuseio inseguro de payloads serializados no protocolo React Flight. Payloads malformados ou adversários podem influenciar a execução do lado do servidor de maneiras não intencionais. As versões corrigidas do React incluem validação mais rigorosa e comportamento de desserialização reforçado.
Por que você pode ser afetado mesmo sem usar Funções de Servidor
Frameworks comumente incorporam a implementação RSC por padrão. Uma aplicação pode, portanto, ser exposta mesmo que não defina explicitamente Funções de Servidor. A própria camada de integração pode invocar o caminho de código vulnerável.
Versões Afetadas
As versões do React 19.0, 19.1.0, 19.1.1 e 19.2.0 são vulneráveis.
As versões do Next.js a partir de 14.3.0-canary.77, bem como todas as versões 15.x e 16.x anteriores às suas versões corrigidas, são afetadas devido ao seu uso da implementação RSC.
Notas sobre o Ambiente de Hospedagem
A Vercel implementou proteções na camada de requisição para reduzir a exposição enquanto os usuários atualizam, mas estas não remediam a vulnerabilidade. Todos os usuários devem atualizar para as versões corrigidas o mais rápido possível.
Severidade
Pontuação CVE: 10.0 Crítica
Impacto: Execução remota de código
Vetor de Ataque: Remoto e não autenticado
Cronograma
29 de novembro: Vulnerabilidade reportada
30 de novembro: Confirmação e desenvolvimento da correção
1º de dezembro: Coordenação com mantenedores de frameworks e provedores de hospedagem
3 de dezembro: Patches públicos lançados e CVE divulgada
Prova de Conceito (Crédito a @maple3142)
O seguinte vídeo de prova de conceito, originalmente publicado por @maple3142 no X, demonstra como requisições multipart especialmente elaboradas podem explorar a desserialização insegura em versões afetadas do React e Next.js. Todo o crédito ao autor original.
Assista ao vídeo completo da prova de conceito aqui.
O pesquisador demonstrou que, ao manipular a lógica de desserialização do RSC, um atacante pode controlar o Chunk.prototype.then caminho de resolução, levando à execução de lógica controlada pelo atacante durante a desserialização de Blob. Detalhes técnicos completos estão disponíveis na POC original publicada no GitHub Gist por @maple3142.
Escaneie Seu Código-fonte Agora
Aikido rastreia CVE-2025-55182 e CVE-2025-66478 em todos os ecossistemas suportados. Conecte seus repositórios para realizar uma varredura completa e avaliar rapidamente sua exposição. Comece gratuitamente com Aikido aqui.
Referências
Equipe React. Divulgação da CVE-2025-55182
Aviso de Segurança da Vercel sobre CVE-2025-55182 e CVE-2025-66478
Proteja seu software agora
.avif)
