Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182

Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). Jeśli nie masz tego zainstalowanego – nie jesteś podatny.

Jeśli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta) – to cały czas możesz być podatny:

“Even if your app does not implement any React Server Function endpoints it may still be vulnerable if your app supports React Server Components.”

Od strony technicznej podatność jest niekontrolowaną deserializacją – co jak wiemy w praktycznie dowolnej technologii prowadzi do wykonania kodu na serwerze (i dalej – wykonywania dowolnych poleceń na serwerze; czy jeszcze inaczej atakujący ma nieuwierzytelniony dostęp na serwer).

Podatne są wersje 19.0, 19.1.0, 19.1.1, 19.2.0 komponentów:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

Podatne są też inne frameworki wykorzystujące Reacta (np. Next.js). Producent wypuścił łatki + pewne szczegóły.

~ms