- Критическая ошибка React (CVE-2025-55182) позволяет использовать RCE перед аутентификацией в компонентах сервера React.
- Затрагивает версии 19.0–19.2.0 и такие фреймворки, как Next, React Router, Vite; Патчи, выпущенные в версиях 19.0.1, 19.1.2, 19.2.1.
- Эксперты предупреждают, что вероятность успеха приближается к 100%, и эксплуатация неизбежна; Настоятельно рекомендуется срочное обновление.
React — одна из самых популярных библиотек JavaScript, которая сегодня обеспечивает большую часть Интернета. Недавно исследователи обнаружили уязвимость максимальной степени серьезности. Этот недостаток может позволить даже низкоквалифицированным злоумышленникам выполнить вредоносный код (RCE) на уязвимых экземплярах.
Ранее на этой неделе команда React выпустила новую рекомендацию по безопасности, описывающую ошибку предварительной аутентификации в нескольких версиях нескольких пакетов, которая влияет на серверные компоненты React. Затронутые версии включают 19.0, 19.1.0, 19.1.1 и 19.2.0 React-Server-Dom-Webpack, React-Server-Dom-Parcel и React-Server-Dom-Turbopack.
Ошибка теперь отслеживается как CVE-2025-55182, и ей присвоен уровень серьезности 10/10 (критический).
Эксплуатация неизбежна – в этом нет никаких сомнений
Эта ошибка также затронула стандартные конфигурации нескольких фреймворков и сборщиков React, включая next, React-Router, Waku, @parcel/rsc, @vitejs/plugin-rsc и rwsdk.
Версии 19.0.1, 19.1.2 и 19.2.1 исправили ошибку, и React призывает всех пользователей применить исправление как можно скорее. «Мы рекомендуем немедленное обновление», — заявила команда React.
Соответственно РегистрReact поддерживает почти две из пяти облачных сред, поэтому поверхность атаки, мягко говоря, велика. Facebook, Instagram, Netflix, Airbnb, Shopify и другие гиганты современной сети полагаются на React, как и миллионы других разработчиков.
Бенджамин Харрис, основатель и генеральный директор поставщика инструментов управления рисками watchTowr, сообщил изданию, что уязвимость «несомненно» используется в реальных условиях. Фактически, он считает, что злоупотребления «неизбежны», особенно теперь, когда опубликовано уведомление.
Wiz удалось протестировать уязвимость и заявляет, что «эксплуатация этой уязвимости имела высокую точность, почти 100% успешность и может использоваться для полного удаленного выполнения кода».
Другими словами, сейчас не время расслабляться — исправление этой ошибки должно быть главным приоритетом для каждого.
Над Регистр
Лучшая антивирусная программа на любой бюджет
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
