Picus Security identifierar kritiska RCE-sårbarheter i React.js-ekosystemet
Picus Security har publicerat en analys av två kritiska fjärrkodsexekveringssårbarheter (CVE-2025-55182 och CVE-2025-66478) som påverkar ekosystemet för React Server Components (RSC).
Säkerhetsföretaget Picus Security har belyst två kritiska sårbarheter, CVE-2025-55182 och CVE-2025-66478, som påverkar ekosystemet för React Server Components (RSC). Dessa sårbarheter, som klassificeras med en CVSS-poäng på 10.0 (kritisk), möjliggör fjärrkodsexekvering (RCE) genom att utnyttja en säkerhetsbrist i data deserialisering.
Ekosystemet för RSC omfattar viktiga React-paket och ramverk såsom React 19, react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack och Next.js. Kärnan i sårbarheterna ligger i Flight-protokollet som används av RSC. När en klient skickar data till servern via Flight-protokollet, kan sättet som React hanterar och avkodar (deserialiserar) denna data exponeras för attacker.
Picus Securitys analys indikerar att en angripare kan manipulera den sända datan för att inkludera skadliga instruktioner. Detta kan leda till "prototype pollution" och i slutändan kompromettera serverns säkerhet. Sårbarheten kan utnyttjas genom att skicka en specialutformad HTTP-begäran till en Server Function-slutpunkt på servern. Med standardinställningar påverkar sårbarheten även applikationer som inte uttryckligen har konfigurerat sådana slutpunkter.
CVE-2025-55182 påverkar centrala React-komponenter (versioner 19.0, 19.1.0, 19.1.1 och 19.2.0), medan CVE-2025-66478 riktar sig mot specifika versioner av Next.js (15.x, 16.x och canary-versioner 14.3.0-canary.77 och senare). Organisationer som använder dessa teknologier uppmanas skyndsamt att uppdatera sin programvara till de patchade versioner som tillhandahålls av leverantörerna för att minimera säkerhetsrisken.