Picus Security paljastaa kriittiset RCE-haavoittuvuudet React.js-ekosysteemissä
Picus Security on julkaissut analyysin kahdesta kriittisestä etäkoodin suorituskykyhaavoittuvuudesta (CVE-2025-55182 ja CVE-2025-66478), jotka vaikuttavat React Server Components (RSC) -ekosysteemiin.
Kyberturvallisuusyritys Picus Security on tiedottanut kahdesta kriittisestä haavoittuvuudesta, CVE-2025-55182 ja CVE-2025-66478, jotka vaikuttavat React Server Components (RSC) -ekosysteemiin. Nämä haavoittuvuudet, jotka luokitellaan CVSS-pistemäärällä 10.0 (kriittinen), mahdollistavat etäkoodin suorittamisen (RCE) hyödyntämällä tietoturva-aukkoa datan deserialisoinnissa.
RSC-ekosysteemiin kuuluvat olennaiset React-paketit ja kehykset, kuten React 19, react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sekä Next.js. Haavoittuvuuksien ydin on RSC:n käyttämässä Flight-protokollassa. Kun asiakas lähettää palvelimelle dataa Flight-protokollan kautta, tapa, jolla React käsittelee ja purkaa (deserialisoi) tätä dataa, voi paljastua hyökkäyksille.
Picus Securityn analyysin mukaan hyökkääjä voi muokata lähetettävää dataa siten, että se sisältää haitallisia komentoja. Tämä voi johtaa protokollan muokkaamiseen (prototype pollution) ja lopulta palvelimen tietoturvan vaarantamiseen. Haavoittuvuutta voidaan hyödyntää lähettämällä erityisesti muokattu HTTP-pyyntö palvelimen Server Function -päätepisteeseen. Oletusasetuksilla haavoittuvuus vaikuttaa myös sovelluksiin, joissa ei ole eksplisiittisesti määritelty kyseisiä päätepisteitä.
CVE-2025-55182 vaikuttaa Reactin keskeisiin komponentteihin (versiot 19.0, 19.1.0, 19.1.1 ja 19.2.0), kun taas CVE-2025-66478 kohdistuu Next.js:n tiettyihin versioihin (15.x, 16.x sekä canary-versiot 14.3.0-canary.77 ja uudemmat). Organisaatioita, jotka käyttävät näitä teknologioita, kehotetaan kiireellisesti päivittämään ohjelmistonsa valmistajien julkaisemiin korjattuihin versioihin tietoturvariskin minimoimiseksi.