Обнаружена критическая уязвимость в React Server Components (CVE‑2025‑55182) и Next.js (CVE‑2025‑66478)
Она позволяет атакующим выполнять произвольный код на сервере
4 декабря 2025 г.
В React Server Components обнаружена критическая уязвимость CVE‑2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере.
Уязвимы компоненты React следующих версий: 19.0; 19.1.0; 19.1.1; 19.2.0.
Уязвимы следующие пакеты React:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopackДополнительно уязвимость затронула следующие фреймворки:
nextreact-routerwaku@parcel/rsc@vitejs/plugin-rscrwsdkВ случае Next.js уязвимы версии:
Next.js 15.xNext.js 16.xNext.js 14.3.0-canary.77 и более новые canary-релизыКак можно скорее обновите уязвимые компоненты!
Эксплуатация уязвимости уже блокируется BI.ZONE WAF, а потенциально уязвимые веб‑приложения можно определить с помощью механизма определения стека веб‑приложений в BI.ZONE CPT.
Дополнительная информация: