Критическая уязвимость React RSC (CVE-2025-55182): Риск удаленного выполнения кода

Введение

Фонд React выпустил срочное предупреждение о безопасности, касающееся критической уязвимости в серверных компонентах React (RSC), обозначенной как CVE-2025-55182 с максимальным баллом CVSS, равным 10. Эта уязвимость, обнаруженная исследователем Лакланом Дэвидсоном и получившая название «React2Shell», позволяет удалённым злоумышленникам выполнять произвольные команды на затронутых серверах с помощью специально сформированных HTTP-запросов. Уязвимость затрагивает несколько пакетов React и побудила разработчиков и облачных провайдеров по всему миру к немедленным действиям.

Технические подробности и воздействие

Уязвимость возникает из-за логической ошибки десериализации в том, как серверные компоненты React обрабатывают входящие запросы. Когда неаутентифицированный злоумышленник отправляет вредоносную HTTP-нагрузку на любую конечную точку серверной функции, этап десериализации React может быть скомпрометирован для выполнения произвольного кода JavaScript на внутреннем сервере. Компания безопасности Wiz подчеркнула, что эта эксплуатация работает во всех конфигурациях, требуя для запуска удалённого выполнения кода лишь одного HTTP-запроса.

Затронутые пакеты включают react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack в версиях 19.0, 19.1.0, 19.1.1 и 19.2.0. Влияние распространяется за пределы самого React на любые библиотеки, построенные на технологии RSC, включая фреймворки Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS и Waku. Такой широкий охват делает уязвимость особенно опасной для современных веб-приложений.

Endor Labs предупредила, что конфигурации фреймворков по умолчанию уязвимы для немедленной эксплуатации, подчеркнув срочность внедрения защитных мер для разработчиков. Рассматривая решения для безопасности, разработчики могут изучить различные варианты программного обеспечения брандмауэра, чтобы добавить дополнительные уровни защиты своим приложениям.

Способы устранения и реагирование

Фонд React выпустил исправленные версии (19.0.1, 19.1.2 и 19.2.1) для трёх затронутых компонентов, на которые разработчикам следует немедленно обновиться. До развёртывания исправлений настоятельно рекомендуется применять специфические правила веб-брандмауэра (WAF) в качестве временной стратегии смягчения.

Крупные облачные провайдеры быстро отреагировали на угрозу. Cloudflare объявила 3 декабря, что обновила свой WAF для защиты клиентов, в то время как Google Cloud Armor, Amazon Web Services (AWS) и другие поставщики безопасности выпустили аналогичные временные правила для брандмауэров. Эти провайдеры подчёркивают, что хотя эти защитные меры помогают, обновление уязвимых пакетов React остаётся окончательным решением.

Для организаций, работающих с конфиденциальными данными, внедрение надёжных инструментов шифрования вместе с патчами безопасности может обеспечить дополнительную защиту от потенциальных утечек данных, возникающих из-за таких уязвимостей.

Преимущества и недостатки

Преимущества

• Быстрое реагирование Фонда React с немедленно доступными патчами
• Крупные облачные провайдеры быстро внедрили защитные правила WAF
• Чёткие детали уязвимости помогают разработчикам понять риск
• Сотрудничество сообщества безопасности в выявлении и сообщении о проблеме
• Полный список затронутых версий позволяет целевые обновления

Недостатки

• Максимальная степень опасности по CVSS 10 указывает на экстремальную угрозу
• Конфигурации по умолчанию могут быть немедленно использованы злоумышленниками
• Требует немедленных действий разработчиков во многих приложениях
• Потенциал для широкомасштабного воздействия до применения патчей

Заключение

Уязвимость CVE-2025-55182 представляет собой критическую угрозу для приложений, использующих серверные компоненты React, а её максимальный балл CVSS отражает серьёзный потенциальный ущерб. Разработчики должны в приоритетном порядке обновляться до исправленных версий React (19.0.1, 19.1.2 или 19.2.1) немедленно. Хотя временные правила WAF от облачных провайдеров предлагают некоторую защиту, они не должны заменять корректное патчинг. Этот инцидент подчёркивает важность поддержания обновлённых зависимостей и внедрения комплексных мер безопасности, включая регулярные оценки уязвимостей и правильные конфигурации безопасного браузера для команд разработчиков. Быстрое реагирование сообщества безопасности демонстрирует эффективное управление уязвимостями, но широкий характер этой уязвимости требует срочного внимания от всех сопровождающих приложений на основе React.