React2Shell — удалённое выполнение кода без аутентификации

Привет, %username%! В экосистеме фронтенда — горячие новости. В React и Next.js нашли критическую уязвимость CVE-2025-55182, получившую 10 из 10 по CVSS. Назвали её React2Shell, и это не преувеличение — уязвимость реально позволяет выполнить произвольный код на сервере без авторизации.

Под ударом — не только React-приложения, но и всё, что использует React Server Components (RSC). А значит, даже если ты не писал свои Server Function эндпоинты, всё равно можешь быть уязвим.

Технически проблема в логически небезопасной десериализации RSC-пейлоадов. При определённых данных сервер выполняет вредоносный JS-код. И всё это — в дефолтной конфигурации.

• Уязвимы версии React 19.0 — 19.2.0 и Next.js 14.3.0-canary.77, а также все 15.x и 16.x до пропатченных.
• Исправления уже вышли: React 19.0.1, 19.1.2, 19.2.1 и Next.js 16.0.7, 15.5.7, 15.4.8 и другие.
• Cloudflare, AWS, Fastly, Google Cloud и Akamai уже внедрили защиту на уровне WAF.

Исследователи предупреждают: эксплуатация — вопрос "когда", а не "если". PoC уже гуляют по сети, но многие из них фейковые или бесполезные (особенно под Next.js).

Если у тебя деплои на React 19 или Next.js последних поколений — стоит срочно:

• проверить версии npm-пакетов;
• развернуть WAF, ограничить сетевой доступ к Server Function эндпоинтам;
• запланировать немедленное обновление.

BI.ZONE оценивает, что только в России уязвимы до 25 000 ресурсов.

Как ты относишься к идее серверного React вообще? Используешь RSC или только CSR? Проверил ли уже свои версии после этой новости?

#news #React #Nextjs #Security #DevSecOps #Vulnerability #SRE #DevOps