От 10 000 до 25 000 российских веб‑ресурсов могут быть под ударом из‑за новой критической уязвимости
Критическая уязвимость в React Server Components (CVE‑2025‑55182) и Next.js (CVE‑2025‑66478) позволяет атакующим выполнять произвольный код на сервере
4 декабря 2025 г.
В React Server Components обнаружена критическая уязвимость CVE‑2025‑55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Уязвимость также затронула приложения Next.js (CVE‑2025‑66478).
По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тысяч российских веб‑ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например BI.ZONE CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее.
Уязвимы компоненты React версий 19.0, 19.1.0, 19.1.1, 19.2.0.
Уязвимы следующие пакеты React:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
Дополнительно уязвимость затронула перечисленные ниже фреймворки:
nextreact-routerwaku@parcel/rsc@vitejs/plugin-rscrwsdk
В случае Next.js уязвимы версии 15.x, 16.x, 14.3.0‑canary.77 и более новые canary-релизы.
Эксплуатация уязвимости уже блокируется BI.ZONE WAF.
Дополнительная информация: