- Krytyczna luka CVE-2025-55182 w komponentach React Server umożliwia zdalne wykonywanie kodu bez uwierzytelnienia poprzez niebezpieczną deserializację.
- Problem ten przenosi się do Next.js jako CVE-2025-66478, przy czym obie luki zostały ocenione jako maksymalnie poważne (CVSS 10).
- Ujawniono domyślne konfiguracje, a badacze informują o niemal 100-procentowej niezawodności wykorzystania luk w wielu rzeczywistych środowiskach.
- Dostawcy opublikowali wytyczne i poprawki, a organizacje korzystające z React lub Next.js powinny natychmiast zaktualizować i przejrzeć swoje wdrożenia.
Ujawnienie CVE-2025-55182 w komponentach React Server i jego wpływ na Next.js Szybko stała się jedną z najgłośniejszych kwestii bezpieczeństwa w świecie tworzenia stron internetowych. Luka ta ujawnia kluczową ścieżkę atakującym umożliwiającą zdalne wykonanie kodu na serwerach korzystających z tych niezwykle popularnych technologii.
Dla zespołów, które przyjęły nowoczesny pakiet React i Next.js, nie jest to abstrakcyjny, akademicki błąd. Badacze ds. bezpieczeństwa ostrzegają, że wykorzystanie tej metody jest zarówno realistyczne, jak i wysoce niezawodnei że domyślne konfiguracje sprawiają, że wiele wdrożeń produkcyjnych jest nieoczekiwanie podatnych na ataki, jeśli nie zostaną szybko załatane.
„React2Shell”: krytyczna luka w zabezpieczeniach, która wstrząsa siecią — i dlaczego jest ważna
W centrum tej sytuacji znajduje się podatność, publicznie śledzony jako CVE-2025-55182, wpływa na protokół React Server Components (RSC). Badacze nazwali tę ścieżkę exploita „React2Shell”, aby podkreślić, że skuteczny atak może przejść od spreparowanego żądania RSC do pełnego dostępu na poziomie powłoki na serwerze bazowym.
Ogólnie rzecz biorąc, wada ujawnia się z powodu niebezpieczna deserializacja ładunków dostarczanych do punktów końcowych funkcji serwera ReactGdy komponent serwera przetwarza te specjalnie przygotowane ładunki, atakujący może przejść od pozornie nieszkodliwego przetwarzania danych do wykonywania dowolnego kodu bez konieczności uwierzytelniania.
Chociaż główny problem tkwi w implementacji open source React, jego wpływ na środowisko się na tym nie kończy. Next.js, który bazuje na React i jest szeroko stosowany w aplikacjach klasy produkcyjnej, dziedziczy problem w obsłudze logiki po stronie serwera. To ryzyko jest skatalogowane osobno jako CVE-2025-66478, co skutecznie rozszerza promień rażenia na znaczną część nowoczesnego stosu internetowego.
Zarówno CVE-2025-55182, jak i jego odpowiednik Next.js zostały przypisano maksymalny wynik ciężkości wynoszący 10 Zgodnie ze wspólnym systemem punktacji podatności. Ocena ta odzwierciedla połączenie podatności na zdalną eksploatację, braku wymogu uwierzytelniania i potencjalnego całkowitego naruszenia bezpieczeństwa systemu.
Czym jest React2Shell — i jak działa?
W rzeczywistości komponenty React Server opierają się na protokole, w którym klient i serwer wymieniają się zserializowanymi danymi, aby obsługiwać renderowanie i logikę po stronie serwera. Rdzeniem React2Shell jest to, że tymi ładunkami można manipulować w sposób powodujący niebezpieczną deserializację, co w praktyce oznacza, że dane wprowadzane przez atakującego mogą być interpretowane jako instrukcje wykonywalne na serwerze.
W typowym scenariuszu ataku przeciwnik tworzy złośliwy ładunek, którego celem jest Punkt końcowy funkcji serwera React udostępniony przez aplikacjęPonieważ lukę można wykorzystać bez uwierzytelniania, atakujący potrzebuje jedynie dostępu do sieci danego punktu końcowego, aby podjąć próbę jej wykorzystania.
Po przetworzeniu złośliwego ładunku serwer może go zdeserializować w niebezpieczny sposób, skutecznie zacierając granicę między danymi i kodem. Otwiera to drzwi do zdalnego wykonywania kodudając atakującemu możliwość uruchamiania dowolnych poleceń z uprawnieniami procesu serwera.
Według ustaleń udostępnionych publicznie przez badaczy z Wiz, ścieżka wykorzystania luki nie jest wyłącznie teoretyczna. Podczas wewnętrznych eksperymentów zgłaszano eksploatację o „wysokiej wierności” i wskaźnik sukcesu bliski 100% W testowanych przez nich środowiskach. Ten poziom niezawodności znacząco obniża barierę dla atakujących i zwiększa pilność dla obrońców, jak ilustrują ostatnie przypadki atak a la cadena de sumistro de npm.
To, co sprawia, że jest to szczególnie niepokojące dla praktyków, to fakt, że podatne zachowanie występuje w domyślnych konfiguracjachInnymi słowy, programiści nie musieli koniecznie decydować się na niebezpieczne ustawienia; wiele aplikacji jest narażonych na ataki po prostu dlatego, że korzystają ze standardowego, zalecanego stosu.
Zakres i wpływ: dlaczego tak wiele projektów jest zagrożonych
Zastosowane technologie sprawiają, że jest to szczególnie powszechny problem. React, który narodził się na Facebooku, a obecnie jest utrzymywany jako biblioteka open source, stanowi podstawę ogromnej części nowoczesnych interfejsów internetowych Dzięki modelowi i ekosystemowi opartemu na komponentach, Next.js, utrzymywany przez Vercel, stał się platformą do tworzenia gotowych do produkcji aplikacji React z renderowaniem po stronie serwera i trasami API.
Ze względu na tę popularność liczba wdrożeń, których dotyczy ten problem, nie jest mała. Badacze z Wiz oszacowali, że około 40% badanych przez nich środowisk chmurowych zawierało podatne na ataki instancje React lub Next.js. Ta migawka wskazuje, że błąd nie jest przypadkiem skrajnym, lecz powszechnym problemem w szerokim spektrum organizacji i branż.
Praktyczne skutki udanego wykorzystania luki w zabezpieczeniach mogą być poważne. Gdy atakujący uzyskają możliwość zdalnego wykonania kodu za pośrednictwem luki w zabezpieczeniach CVE-2025-55182 lub powiązanej luki w zabezpieczeniach Next.jsMogą potencjalnie uzyskać dostęp do poufnych danych, poruszać się bocznie w obrębie środowiska, instalować tylne furtki lub wykorzystywać naruszone serwery jako punkty przejściowe do dalszych ataków.
Benjamin Harris, założyciel i dyrektor generalny watchTowr, podkreślił, że chociaż publiczne szczegóły techniczne są nadal stosunkowo ograniczone, publikacja poprawek wystarczy, by wskazać drogę zdeterminowanym atakującymGdy zaczną przeglądać zmiany w kodzie i uwagi doradcze, odtworzenie ścieżki exploita i wykorzystanie jej w praktyce stanie się znacznie łatwiejsze.
Taka dynamika — upublicznienie poprawek przed ich powszechnym zastosowaniem — często prowadzi do wyścigu. Organizacje skutecznie konkurują teraz z aktorami stanowiącymi zagrożenie aby wdrożyć poprawki i podjąć działania łagodzące zanim liczba prób wykorzystania luk w zabezpieczeniach się zwiększy.
Dlaczego React2Shell jest szczególnie niebezpieczny
Na tę lukę w zabezpieczeniach składa się szereg czynników, które wyróżniają ją spośród typowych ostrzeżeń dotyczących bezpieczeństwa. Po pierwsze, brak wymagań uwierzytelniania oznacza, że anonimowi atakujący mogą bezpośrednio atakować odsłonięte punkty końcoweKażdy publicznie dostępny punkt końcowy komponentu serwera natychmiast staje się częścią powierzchni ataku.
Po drugie, sposób, w jaki błąd ujawnia się w rzeczywistych konfiguracjach, prowadzi do wyjątkowo wysoka niezawodność w zakresie exploitówJak podaje Wiz, w typowych konfiguracjach ścieżka exploita działała prawie za każdym razem w scenariuszach proof-of-concept, redukując potrzebę stosowania złożonych lub kruchych łańcuchów ataków.
Po trzecie, problem dotyczy sposobu, w jaki React Server Components i Next.js radzą sobie z logiką po stronie serwera. Ponieważ wada jest związana z samym protokołem RSC, a nie tylko z wąską funkcją krawędziowąwiele aplikacji dziedziczy ryzyko po prostu dlatego, że stosuje się do standardowych wzorców promowanych w oficjalnej dokumentacji.
Wreszcie, znaczenie ma szerszy kontekst ekosystemu. React i Next.js są głęboko osadzone w architekturze natywnej dla chmury i mikrousług które obsługują wszystko, od małych startupów po duże przedsiębiorstwa. Pojedynczy zagrożony komponent serwera może stanowić punkt wejścia do znacznie większego, bardziej złożonego środowiska.
Łącznie te właściwości wyjaśniają, dlaczego luki w zabezpieczeniach zostały ocenione na najwyższym poziomie zagrożenia i dlaczego społeczność zajmująca się bezpieczeństwem zdecydowanie je popiera szybkie łatanie i proaktywna ocena ryzyka zamiast podejścia wyczekującego.
Co już jest robione (i co powinieneś zrobić teraz)
Po zgłoszeniu problemu za pośrednictwem programu Meta Bug Bounty — badacz Lachlan Davidson powiadomił zespół React 29 listopada — konserwatorzy przenieśli się, aby zbadać, naprawić i skoordynować ujawnienie. Projekt React i Vercel, firma stojąca za Next.js, opublikowały już wskazówki, które pomogą użytkownikom w aktualizacji oprogramowania.
Od strony dostawcy, poprawione wersje i notatki doradcze określają, których wersji dotyczy problem i jak je uaktualnićOrganizacje korzystające z komponentów React Server lub Next.js powinny dokładnie zapoznać się z tymi dokumentami, określić, które wdrożenia są objęte zakresem prac, i zaplanować aktualizacje jako priorytetowe.
Biorąc pod uwagę, że domyślne konfiguracje są podatne na ataki, założenie, że „ustawienia niestandardowe” lub minimalne użytkowanie zapewnią ochronę, jest ryzykowne. Zespoły ds. bezpieczeństwa powinny sporządzić inwentaryzację wszystkich aplikacji, które korzystają ze składników React Server lub Next.jszwracając szczególną uwagę na publicznie dostępne punkty końcowe wystawione na działanie Internetu.
Chociaż pierwszym krokiem jest zastosowanie poprawek, warto również rozważyć krótkoterminowe środki zaradcze. Ograniczanie niepotrzebnego publicznego ujawniania punktów końcowych komponentów serwera, zaostrzenie kontroli dostępu do sieci, gdzie to możliwe, i wzmocnienie monitorowania podejrzanych wzorców żądań mogą zmniejszyć ryzyko podczas wdrażania aktualizacji, gestión segura de secretos w GitHub Actions.
Organizacje mogą również chcieć ściśle współpracować ze swoimi zespołami programistycznymi, aby przejrzyj rejestrowanie, plany reagowania na incydenty i wszelkie oznaki nietypowej aktywności wokół usług React lub Next.js, włącznie z użycie Burp Collaborator para Detectar interacciones fuera de banda.
Co to oznacza dla ekosystemu sieciowego — i na co zwrócić uwagę
Pojawienie się luki CVE-2025-55182 i jej odpowiednika w Next.js wywołuje szersze pytania na temat jak szybko rozwijające się frameworki internetowe zarządzają bezpieczeństwem w złożonych funkcjach po stronie serweraKomponenty React Server, choć potężne, wprowadzają nowe wzorce komunikacji i logikę serializacji, które wymagają rygorystycznej kontroli.
Dla szerszego ekosystemu incydent ten jest przypomnieniem, że nawet dojrzałe, powszechnie stosowane technologie mogą zawierać poważne luki w zabezpieczeniach wynikające z subtelnych szczegółów implementacjiPołączenie optymalizacji wydajności, wygody dla programistów i elastycznych interfejsów API może czasami maskować głębokie założenia dotyczące bezpieczeństwa, dopóki nie zostaną one poddane testom obciążeniowym przez badaczy.
W przyszłości prawdopodobnie zarówno społeczności React, jak i Next.js zobaczą większy nacisk na bezpieczne zarządzanie funkcjami serwera, serializację ładunku i domyślne konfiguracjeOrganizacje dbające o bezpieczeństwo mogą również domagać się jaśniejszych wytycznych, bardziej szczegółowych opcji wzmacniania zabezpieczeń oraz rozszerzonej dokumentacji dotyczącej bezpiecznych praktyk podczas tworzenia rozwiązań z wykorzystaniem komponentów serwerowych.
W międzyczasie osoby odpowiedzialne za obronę powinny uważnie śledzić aktualizacje z oficjalnych kanałów projektu, od dostawców rozwiązań zabezpieczających i badaczy, którzy na bieżąco analizują tę lukę w zabezpieczeniach. Nowe dowody koncepcji, reguły wykrywania i zalecenia dotyczące najlepszych praktyk będą się pojawiać, gdy więcej ekspertów zacznie zgłębiać szczegóły React2Shell i jego wariantów.
Ostatecznie ten odcinek podkreśla, że dbanie o bezpieczeństwo nowoczesnych stosów internetowych to proces ciągły, a nie jednorazowe zadanie konfiguracji. Wraz z ewolucją frameworków ewoluują również ich potencjalne powierzchnie ataków, a organizacje, które szybko się adaptują, radzą sobie lepiej, gdy ujawniają się krytyczne wady.
Dla każdego zespołu, który w środowisku produkcyjnym korzysta z React lub Next.js, CVE-2025-55182 stanowi jasny sygnał: traktuj funkcje po stronie serwera z taką samą rygorystyczną ochroną jak każdą inną krytyczną infrastrukturę, bądź na bieżąco z ostrzeżeniami dotyczącymi górnego biegu rzeki i bądź gotowy do szybkiego działania, gdy pojawią się problemy o takim stopniu oddziaływania.
Niniejsze opracowanie opiera się na informacjach pierwotnie opublikowanych przez media zajmujące się cyberbezpieczeństwem oraz w poradach dostawców, podkreślając, w jaki sposób React2Shell szybko przeszedł ze statusu prywatnego raportu do statusu pilnego priorytetu dla organizacji w całej sieci.
