Қауіпсіздік ескертуі6 желтоқсан 20258 мин оқу

CVE-2025-55182: React-тағы қауіпті RCE осалдығы — Сіздің Next.js қосымшаңыз бұзылған ба?

React Server Components-тағы қауіпті қашықтан код орындау осалдығы белсенді түрде пайдаланылуда. Міне, білуіңіз керек барлық ақпарат.

9.8
CVSS бағасы
ҚАУІПТІ ДЕҢГЕЙ
Шабуыл векторы: Желі
Эксплойт жетілуі: Қаруланған
Patch қолжетімді: Иә
Белсенді пайдалану: Расталған

Қысқаша — Қазір жаңартыңыз!

  • CVE-2025-55182 — React Server Components-тағы қауіпті RCE осалдығы
  • Шабуылшылар бір HTTP сұрауымен сервериңізде кез келген кодты орындай алады
  • 2025 жылдың 5 желтоқсанынан бастап белсенді пайдалану байқалды
  • Зардап шеккендер: React 19.x, Next.js 14.3+, 15.x, 16.x App Router-мен
  • Шешім: React 19.0.1/19.1.2/19.2.1 және Next.js 15.0.5+/16.0.8+ жаңартыңыз

CVE-2025-55182 дегеніміз не?

CVE-2025-55182, қауіпсіздік зерттеушілері "React2Shell" деп атаған, React Server Components "Flight" хаттамасындағы қауіпті қашықтан код орындау (RCE) осалдығы. Осалдық серверде RSC пакеттерін өңдеу кезінде қауіпсіз емес десериализациядан туындайды. Бұл осалдық аутентификацияланбаған шабуылшыға арнайы жасалған HTTP сұрауын жіберу арқылы сервериңізде кез келген JavaScript кодын орындауға мүмкіндік береді. Аутентификация қажет емес. Пайдаланушы әрекеті қажет емес. Бір зиянды сұрау — және сервериңіз бұзылды.
Шабуыл процесінің визуализациясы
  1. Шабуылшы бұзылған RSC пакетін әзірлейді
  2. Пакет HTTP POST арқылы осал эндпоинтке жіберіледі
  3. Сервер пакетті тексерусіз десериализациялайды
  4. Зиянды код сервер құқықтарымен орындалады
  5. Сервердің толық бұзылуына қол жеткізілді

Бұл қалай жұмыс істейді?

Осалдық арнайы жасалған, бұрмаланған RSC пакеттерінің қауіпсіз емес өңделуін пайдаланады. Сервер мұндай пакетті алғанда, құрылымды дұрыс тексермейді, бұл шабуылшы басқаратын деректерге сервер жағындағы орындау логикасына әсер етуге мүмкіндік береді. Шабуыл процесі қарапайым: 1. Шабуылшы HTTP POST сұрауы арқылы бұрмаланған RSC пакетін жібереді 2. Сервер пакетті тиісті тексерусіз десериализациялайды 3. Шабуылшы басқаратын код сервер құқықтарымен орындалады 4. Сервердің толық бұзылуына қол жеткізілді Бұл әсіресе қауіпті, өйткені create-next-app әдепкі конфигурациялары осал. Егер сіз соңғы бір жылда App Router-мен Next.js қосымшасын орналастырсаңыз, сіз қауіп астында болуыңыз мүмкін.
PoC мысалы
POST /_rsc HTTP/1.1
Host: vulnerable-app.com
Content-Type: text/x-component

0:["$","$L1",null,{"__rsc_payload__":
  {"$$typeof":"__MALICIOUS_MARKER__",
   "type":{"$$typeof":"EXPLOIT_FUNC",
   "render":"__ARBITRARY_CODE__"}}
}]

Бұл шабуыл векторының жеңілдетілген көрінісі. Нақты эксплойт арнайы жасалған Flight хаттама деректерін пайдаланады.

Пайдалану әрекеттерін қалай анықтауға болады
  • [01]/_rsc немесе Server Component эндпоинттеріне әдеттен тыс POST сұраулары
  • [02]RSC пакеттерімен дұрыс емес Content-Type тақырыптары
  • [03]Веб-серверлерде күтпеген процестердің пайда болуы
  • [04]Серверден белгісіз IP мекенжайларына шығыс қосылымдар
  • [05]Сервер журналдарында орта айнымалыларына қол жеткізу

Әсері мен маңыздылығы

CVSS бағасы: 9.8 (қауіпті) Бұл осалдықтың әсерін асыра бағалау мүмкін емес: • Аутентификациясыз RCE: Шабуылшыларға тек жасалған HTTP сұрауын жіберу жеткілікті • Әдепкі конфигурациялар осал: Стандартты create-next-app орналастырулары қауіп астында • 100%-ға жақын сенімділік: Тестілеу жоғары тұрақты пайдалану сәттілігін көрсетті • Белсенді пайдалану: Нақты шабуылдар 2025 жылдың 5 желтоқсанынан басталды Wiz қауіпсіздік зерттеушілері белсенді пайдалану науқандарын байқады, соның ішінде: - Орта айнымалыларынан тіркелгі деректерін жинау - Криптомайнинг пайдалы жүктемелерін орналастыру - Тұрақты қол жеткізу үшін кері қабықшаларды орнату - Деректерді эксфильтрациялау әрекеттері
Нұсқаларды салыстыру
PackageОСАЛТҮЗЕТІЛГЕН
React19.0.0, 19.1.x, 19.2.019.0.1, 19.1.2, 19.2.1
Next.js 15.015.0.0 - 15.0.415.0.5
Next.js 15.115.1.0 - 15.1.815.1.9
Next.js 15.215.2.0 - 15.2.515.2.6
Next.js 16.016.0.0 - 16.0.616.0.8

Зардап шеккен нұсқалар

React пакеттері (react-server-dom-webpack, react-server-dom-parcel, т.б.): • 19.0.0 (барлық құрастырулар) • 19.1.0, 19.1.1 • 19.2.0 Next.js (App Router қосылған): • 14.3.0-canary.77 және кейінгі canary шығарылымдары • 15.0.0-ден 15.0.4-ке дейін • 15.1.0-ден 15.1.8-ге дейін • 15.2.0-ден 15.2.5-ке дейін • 15.3.0-ден 15.3.5-ке дейін • 15.4.0-ден 15.4.7-ге дейін • 15.5.0-ден 15.5.6-ға дейін • 16.0.0-ден 16.0.6-ға дейін Басқа зардап шеккен фреймворктар: • Vite RSC plugin • Parcel RSC • React Router (RSC-мен) • RedwoodSDK • Waku

Қалай түзетуге болады

Дереу жаңарту — жалғыз сенімді шешім. Осы түзетілген нұсқаларға жаңартыңыз: Жаңарту үшін орындаңыз:
# npm үшін
npm update react react-dom next

# yarn үшін
yarn upgrade react react-dom next

# pnpm үшін
pnpm update react react-dom next

# Нұсқаларыңызды тексеріңіз
npm list react next

Осал екеніңізді қалай тексеруге болады

Ағымдағы нұсқаларыңызды тексеру үшін осы командаларды орындаңыз:
# React нұсқасын тексеру
npm list react

# Next.js нұсқасын тексеру
npm list next

# App Router пайдаланылуын тексеру
# Жоба түбірінде 'app' каталогын іздеңіз
Егер сіз жоғарыда көрсетілген зардап шеккен нұсқалардың кез келгенін және App Router ('app' каталогын) пайдалансаңыз, сіз осалсыз және дереу жаңартуыңыз керек. TEPTEZ сіздің қосымшаларыңызды осы және басқа CVE осалдықтарына автоматты түрде скенерлей алады. Біздің платформа осал тәуелділіктерді анықтайды және жою бойынша нұсқаулар береді.

Хронология

• 2025 қараша: Осалдықты қауіпсіздік зерттеушілері тапты • 2025 жылдың 2 желтоқсаны: React командасына хабарланды • 2025 жылдың 3 желтоқсаны: React командасынан ресми хабарлама жарияланды • 2025 жылдың 4 желтоқсаны: Барлық зардап шеккен нұсқалар үшін патчтар шығарылды • 2025 жылдың 5 желтоқсаны: Белсенді пайдалану анықталды • 2025 жылдың 6 желтоқсаны: Wiz толық техникалық талдауды жариялады

Сілтемелер

TEPTEZ арқылы қосымшаларыңызды қорғаңыз

Келесі zero-day күтпеңіз. TEPTEZ қосымшаларыңызды CVE осалдықтары, дұрыс емес конфигурациялар және қауіпсіздік қатерлеріне үздіксіз бақылайды.

Тегін скенерлеуді бастау
← Back to Blog