Kritična React i Next.js RSC ranjivost

Sadržaj
‍
Otkrivena je kritična ranjivost označena kao CVE-2025-55182 u mehanizmu React Server Components te kao CVE-2025-66478 u Next.js okruženju. Ranjivost omogućava udaljeno izvršavanje koda bez autentifikacije i nosi maksimalnu ocjenu CVSS 10.0. Budući da se RSC koristi u velikom broju modernih web aplikacija, izloženost je široka. Objavljen je javni dokaz koncepta i zakrpe su dostupne, što zahtijeva hitnu reakciju.

Detalji
‍
Ranjivost nastaje zbog načina na koji React obrađuje podatke koji stižu kroz React Server Components protokol. U trenutku kada server prima podatke i pretvara ih u interne oblike koje aplikacija koristi, napadač može umetnuti podatke koji se nakon obrade ponašaju kao izvršiv kod. Obrada se odvija prije provjere identiteta korisnika što omogućava kompromitaciju bez vjerodajnica.
‍
Uspješan napad rezultira potpunim pristupom serveru i posljedično pristupu datotekama, bazama, servisima i drugim resursima.
‍
Aplikacija može biti ranjiva čak i ako ne koristi posebne funkcijske krajnje točke. Dovoljno je korištenje React Server Components ili Next.js App Router sustava. Mnoge aplikacije automatski povlače RSC pakete pa se ranjivost pojavljuje i u okruženjima gdje nije očita. Prema sigurnosnim analizama ranjivi paketi nalaze se u gotovo četrdeset posto pregledanih cloud sustava.
‍
Pogođene su React biblioteke unutar paketa react-server-dom-webpack, react-server-dom-parcel i react-server-dom-turbopack u verzijama 19.0, 19.1.0, 19.1.1 i 19.2.0. Pogođene su i Next.js instalacije od verzije 14.3.0 canary 77 nadalje te sve verzije 15 i 16 prije primjene zakrpe. React tim objavio je zakrpe u verzijama 19.0.1, 19.1.2 i 19.2.1. Next.js tim objavio je zakrpe za sve podržane grane. Važno je provjeriti dependency stablo jer aplikacija može izgledati ažurno iako koristi ranjive podmodule.
‍
Objavljen je javni dokaz koncepta što omogućava brzo pojavljivanje automatiziranih skenera i botnet alata koji traže ranjive instance. Masovni napadi još nisu potvrđeni, ali se očekuju u kratkom roku zbog dostupnosti metode iskorištavanja.

Preporuke
‍
• Azurirati React i Next.js na najnovije zakrpane verzije.
• Provjeriti dependency stablo i ukloniti ranjive podmodule.
• Ako se azuriranje odgađa privremeno ograničiti pristup aplikaciji i aktivirati WAF.
• Pojačati nadzor nad neuobičajenim zahtjevima i ponašanjem RSC prometa.

Reference
‍
• https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html
• https://www.securityweek.com/react2shell-in-the-wild-exploitation-expected-for-critical-react-vulnerability/
• https://arstechnica.com/security/2025/12/admins-and-defenders-gird-themselves-against-maximum-severity-server-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2025-55182
• https://nvd.nist.gov/vuln/detail/CVE-2025-66478

‍