Розробників закликають терміново оновити React та Next.js

Розробникам, які використовують бібліотеку React 19 для створення інтерфейсів додатків, рекомендується негайно оновити її до останньої версії через критичну вразливість, яку зловмисник може легко використати для віддаленого запуску власного коду. Про це пишуть в блозі компанії Wiz.

Щоб скористатися вразливістю React, хакеру достатньо надіслати спеціально створений HTTP-запит до кінцевої точки сервера. Дані Wiz Research показують, що 39% хмарних середовищ містять вразливі екземпляри.

Дослідники виявили, що вразливість у протоколі React Server Components (RSC) Flight впливає на екосистему React 19, а також на фреймворки, які її реалізують. Зокрема, це стосується Next.js, популярного фреймворку, побудованого на базі React. 

«Наші тести експлуатації демонструють, що стандартний додаток Next.js, створений за допомогою create-next-app та розроблений для продакшену, є вразливим без будь-яких специфічних змін коду розробником», — попереджають фахівці Wiz.

Проблема в серверному пакеті React, позначена як CVE-2025-55182, полягає в логічній вразливості десеріалізації, яка дозволяє серверу обробляти корисні навантаження RSC небезпечним способом. Спеціалісти Wiz стверджують, що коли сервер отримує спеціально створене невірне корисне навантаження, він не може правильно перевірити структуру. Це дозволяє даним, контрольованим зловмисником, впливати на логіку виконання на стороні сервера, що призводить до виконання привілейованого коду JavaScript.

«Простіше кажучи, сервер приймає вхідні дані від користувача, занадто їм довіряє та обробляє їх у кодоподібні об’єкти, які зловмисники можуть використовувати для виконання команд або витоку конфіденційної інформації».

Проблема стосується версій React 19.0.0, 19.1.0, 19.1.1, 19.2.0 і Next.js версій 15.x та 16.x, які використовують App Router. Виправлення полягає в оновленні React і та Next.js до останньої версії.

У блозі React наведено детальні інструкції щодо оновлення як React, так і Next.js.