Actualizarea de securitate legată de React a readus în atenție riscurile din ecosistemul JavaScript, amintind de situațiile în care o bibliotecă populară a trebuit să sară rapid versiuni după descoperirea unei breșe. Cercetătorii de la Wiz și firma Aikido au identificat o vulnerabilitate gravă în React Server Components, în special în protocolul numit Flight, care afectează anumite versiuni de React și mai multe componente terțe folosite pe servere web.
Problema, înregistrată ca CVE-2025-55182, se regăsește în codul din React 19.0.1, 19.1.2 și 19.2.1. Next.js a raportat aceeași problemă sub propriul identificator, CVE-2025-66478. Printre componentele terțe cunoscute ca afectate se numără pluginurile RSC pentru Vite și Parcel, preview-ul React Router RSC, RedwoodSDK, Waku și pachetele Next.js care folosesc Remote Server Components. Practic, dacă aplicația ta folosește React Server Components sau depinde de unul dintre aceste pluginuri, merită verificată.
Originea vulnerabilității este o deserializare nesigură, procesul prin care șiruri sau fluxuri de octeți sunt transformate în obiecte în memorie. Când această transformare nu validează corespunzător structura datelor primite, un payload construit special poate altera fluxul de execuție al serverului și poate duce la rularea de cod JavaScript cu privilegii. Wiz a arătat că testele lor indică o rată de succes aproape de 100% pentru exploatare și că vectorul de atac este remote și neautentificat: este suficientă o cerere HTTP specială către server. Aikido și Wiz au subliniat că problema afectează configurațiile implicite ale unor frameworkuri populare, ceea ce înseamnă că multe instalații pot fi expuse fără modificări avansate.
Remediile introduse în versiunile corectate includ validări mai stricte și întărirea comportamentului de deserializare, pentru a bloca datele malițioase înainte de a influența execuția. Recomandarea comună a celor două firme este ca administratorii și dezvoltatorii să actualizeze React și toate dependențele care îl folosesc. Utilizatorii pluginurilor și frameworkurilor menționate ar trebui să ia legătura cu întreținătorii proiectelor pentru indicații specifice și să scaneze codul și depozitele proprii pentru utilizări ale React care ar putea fi vulnerabile. Aikido a pus la dispoziție instrumente și resurse de scanare pentru dezvoltatori, iar o verificare rapidă a lanțului de dependențe poate face diferența între o actualizare simplă și o investigație complexă.
CVE-2025-55182 este o vulnerabilitate de deserializare în Flight, parte din React Server Components. Tema mai largă este că complexitatea instrumentelor moderne pe partea de server extinde suprafața de atac, iar dependențele terțe precum Vite, Parcel, Next.js sau RedwoodSDK pot transmite riscuri. Inventariază versiunile afectate și CVE-urile, actualizează pachetele și verifică configurațiile implicite. Consideri că echipa ta dispune de proceduri suficiente pentru a detecta rapid astfel de vulnerabilități în lanțul de dependențe?
Fii primul care comentează