3 декабря 2025 была опубликована информация о серьезной уязвимости в React Server Components (RSC), получившей идентификатор CVE-2025-55182. Уязвимость позволяет удаленно запустить код на сервере без аутентификации.
🔴 Уязвимость получила максимальный рейтинг по шкале CVSS — 10.0.
⚠️ Основное:
— Уязвимость связана с небезопасной десериализацией данных при вызове Server Function эндпоинтов.
— Уязвимости подвержены React версий: 19.0, 19.1.0, 19.1.1, 19.2.0, а также пакеты react-server-dom-*.
— Уязвим не только React, но и фреймворки/бандлеры: Next.js, React Router RSC, Vite RSC, Parcel RSC, Waku и другие.
— Риск сохраняется даже если вы не используете Server Function эндпоинты напрямую.
🎯 Кто под угрозой:
Любые проекты, использующие React Server Components или фреймворки на их базе — особенно публичные веб-серверы.
📌 Что делать:
# Обновить React до пропатченных версий: 19.0.1, 19.1.2, 19.2.1
npm install react@19.0.1 react-dom@19.0.1 // для 19.0.x
npm install react@19.1.2 react-dom@19.1.2 // для 19.1.x
npm install react@19.2.1 react-dom@19.2.1 // для 19.2.x
# Обновить Next.js до пропатченных версий (например, 15.0.5, 15.1.9, 16.0.7 и др.)
npm install next@15.0.5 // для 15.0.x
npm install next@15.1.9 // для 15.1.x
npm install next@15.2.6 // для 15.2.x
npm install next@15.3.6 // для 15.3.x
npm install next@15.4.8 // для 15.4.x
npm install next@15.5.7 // для 15.5.x
npm install next@16.0.7 // для 16.0.x
# Проверить зависимости бандлеров и плагинов (react-server-dom-*, @vitejs/plugin-rsc, parcel-rsc и т.п.)
npm install react-server-dom-webpack@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-turbopack@latest
# Обновить Docker-контейнеры и зависимости
Если вы собираете образ самостоятельно, убедитесь, что он собран с последними версиями зависимостей.
Если вы используете образ из интернета, проверьте, что версия образа содержит актуальные обновления и не использует уязвимые зависимости.
Больше инструкций для различных фреймворков и компонентов вы можете найти в официальной новости (список дополняется).
🔐 Клиентам, которые подвержены уязвимости в ближайшее время придет письмо на контактную почту, указанную в аккаунте, но мы рекомендуем также самостоятельно проверить свои проекты.
#безопасность #уязвимость_RSC #React_Server_Components #BegetCloud
