- Nové chyby v komponentoch React Server, CVE-2025-55183 a CVE-2025-55184, umožňujú odhalenie zdrojového kódu a odmietnutie služby.
- Oba problémy ovplyvňujú konkrétne verzie 19.x balíkov react-server-dom-parcel, -turbopack a -webpack.
- Tím React spoločnosti Meta vydal opravené verzie 19.0.3, 19.1.4 a 19.2.3 a nalieha na rýchle aktualizácie.
- Chyby boli objavené počas záťažového testovania skorších záplat React2Shell (CVE-2025-55182), čo ukazuje dôkladné skúmanie útočnej plochy RSC.
Dva novoodhalené zraniteľnosti v komponentoch React Server (RSC) opäť venovali pozornosť bezpečnosti moderných JavaScriptových backendov. Sledované ako CVE-2025 55183, a CVE-2025 55184,Tieto chyby neumožňujú priame spustenie kódu na diaľku, ale pri zneužití za vhodných podmienok môžu spôsobiť vážne narušenie v podobe odmietnutia služby a nechceného zverejnenia zdrojového kódu backendu.
Tieto chyby sa objavili ako súčasť širšieho bezpečnostná kontrola spustená kritickým problémom React2Shell (CVE-2025-55182), ktorá už bola aktívne zneužívaná. Hoci nové slabiny sú menej závažné ako skoršia zraniteľnosť CVSS verzie 10.0, zdôrazňujú, ako sa po zverejnení kritickej chyby výskumníci aj útočníci ponárajú hlboko do jej skúmania. susedné cesty kódu RSC hľadajúce variantné techniky útoku.
Pozadie: Od React2Shell k novým zraniteľnostiam RSC
Keďže obrancovia a tím React nasadili opatrenia na zmiernenie chýb pre React2Shell, bezpečnostní výskumníci začali skúmať aktualizovaný kód, aby zistili, či by sa dali tieto opravy... obídené alebo rozšírené do nových primitív exploituTento proces je štandardnou praxou v celom odvetví: po oprave vysoko kritickej zraniteľnosti sa blízka logika a rozhrania agresívne skúmajú na prítomnosť podobných vzorcov.
Práve počas tohto následného výskumu boli zdokumentované tri súvisiace chyby RSCproblém s odmietnutím služby (CVE-2025-55184), následná neúplná oprava s rovnakým dopadom (CVE-2025-67779) a slabina týkajúca sa zverejňovania informácií (CVE-2025-55183). Hoci je CVE-2025-67779 relevantný aj pre bezpečnosť RSC, hlavný dôraz sa teraz kladie na pochopenie novo podrobne definované správanie a dopad CVE-2025-55183 a CVE-2025-55184.
Popri tejto technickej analýze zaznamenali tí, ktorí reagujú na incidenty, vývoj reťazcov exploitov okolo React2Shell, kde útočníci kombinujú RCE s užitočnými dátami po exploitácii a laterálnym pohybom. Táto pokračujúca aktivita zvyšuje naliehavosť toho, aby organizácie riešili problémy. všetky súvisiace zraniteľnosti RSC vrátane CVE-2025-55183 a CVE-2025-55184 ako súčasť jednej vyvíjajúcej sa útočnej plochy a nie ojedinelé chyby.
Objav a zodpovedné zverejnenie týchto problémov demonštruje, ako širšia bezpečnostná komunita, inžinieri dodávateľov a lovci chýb spolupracovať na posilnení široko používaných frameworkov, ako je React, a to aj keď sa protivníci snažia tie isté komponenty použiť ako zbraň.
Technické detaily CVE-2025-55184: Odmietnutie služby v serverových funkciách
CVE-2025-55184 je opísaný ako zraniteľnosť typu odmietnutie služby (DoS) pred overením totožnosti ovplyvňujúce komponenty servera React. Koreň problému spočíva v spôsobe, akým niektoré balíky RSC spracovávajú deserializácia údajov z HTTP požiadaviek zacielenie na koncové body serverových funkcií.
V zraniteľných verziách môžu špeciálne vytvorené požiadavky spustiť nebezpečná logika deserializácie, ktorá spadá do nekonečnej slučkyPo aktivácii tejto slučky sa proces spracovávajúci serverovú funkciu efektívne zasekne, čo vedie k stavu, v ktorom aplikácia už nie je schopná obsluhovať následnú HTTP prevádzku alebo spoľahlivo reagovať.
Dopad je obzvlášť znepokojujúci, pretože chyba sa dá zneužiť pred vynútením akéhokoľvek overeniaInými slovami, útočník nepotrebuje platné prihlasovacie údaje ani zvýšené oprávnenia na pokus o zneužitie; prúd škodlivých požiadaviek stačí na zaťaženie serverových zdrojov a potenciálne vyradiť službu s podporou RSC z prevádzky.
Podľa zverejneného hodnotenia nesie CVE-2025-55184 Základné skóre CVSS 7.5, čo ho zaraďuje do kategórie s vysokou závažnosťou. Hoci sám o sebe neponúka spustenie kódu, spoľahlivý DoS primitív proti kľúčovej časti backendového stacku sa stále môže prejaviť riziká dostupnosti, porušenia dohôd o úrovni služieb a vplyv na následné podnikanie.
Počas procesu opravy sa použije samostatný identifikátor, CVE-2025 67779,, bol priradený k neúplnej oprave tohto problému. Toto následné CVE rieši zvyškové cesty, ktoré stále spôsobovali rovnaký efekt odmietnutia služby, čím zdôrazňuje, ako Uzatváranie zložitých chýb deserializácie môže vyžadovať viacero iterácií na pokrytie každého okrajového prípadu.
Technické detaily CVE-2025-55183: Odhalenie zdrojového kódu prostredníctvom vytvorených požiadaviek
Kde sa CVE-2025-55184 zameriava na dostupnosť, CVE-2025-55183 sa zaoberá dôvernosťouTáto zraniteľnosť je charakterizovaná ako Chyba úniku informácií v komponentoch React Servera čo môže spôsobiť vrátenie zdrojového kódu určitých serverových funkcií vzdialenému klientovi.
V zraniteľných vydaniach môže starostlivo navrhnutá HTTP požiadavka odoslaná do odhalenej serverovej funkcie spustiť správanie, pri ktorom server odpovedá podkladovým kódom akejkoľvek cieľovej serverovej funkcieTento druh úniku môže odhaliť detaily implementácie, obchodnú logiku, pevne zakódované reťazce alebo iné citlivé informácie, ktoré organizácie bežne uchovávajú výlučne na strane servera.
Zneužitie CVE-2025-55183 je však obmedzené špecifickou podmienkou: musí existovať aspoň jeden Serverová funkcia, ktorej rozhranie sprístupňuje argument, ktorý bol prevedený do reťazcového formátu, či už explicitne alebo implicitne. Zraniteľnosť sa stane pre potenciálneho útočníka použiteľnou iba vtedy, keď tento vzorec existuje v používaní RSC aplikáciou.
Priradenie bezpečnostných hodnotení skóre CVSS 5.3 podľa CVE-2025-55183, čo ho zaraďuje do stredne závažného rozsahu. Napriek tomu môže byť zverejnenie zdrojového kódu ďaleko od neškodného. Znalosť názvov interných funkcií, parametrov, spracovania chýb a tokov údajov môže pomôcť protivníkom vytvoriť cielenejšie útoky, odhaľovať skryté slabiny a navrhovať phishingové alebo sociálne inžinierske úsilie, ktoré viac zodpovedá skutočnému správaniu systému.
Okrem akejkoľvek okamžitej exploatácie môže viditeľnosť získaná z uniknutého kódu serverových funkcií efektívne premeniť aplikáciu na samostatnú... plán pre budúce pokusy o vniknutie, najmä v prostrediach, kde sa rovnaké vzorce objavujú vo viacerých službách.
Ovplyvnené balíky a verzie v ekosystéme React RSC
Novo zdokumentované zraniteľnosti ovplyvňujú súbor Integračné balíky komponentov React Server, konkrétne implementácie, ktoré pripájajú RSC do nástrojov na zostavovanie a beh. Dotknuté moduly sú:
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
V prípade CVE-2025-55184 aj CVE-2025-55183 sa postihnuté verzie rozprestierajú vo viacerých vydaniach 19.x. Zraniteľná skupina zahŕňa 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 a 19.2.1Vývojové tímy, ktoré prevádzkujú tieto verzie v produkčnom alebo stagingovom prostredí, musia predpokladať, že ich inštancie môže byť náchylný na odmietnutie služby alebo únik zdrojového kódu ak je vystavený nedôveryhodnej prevádzke.
Okrem toho, neúplná oprava reprezentovaná CVE-2025 67779, ovplyvňuje verzie 19.0.2, 19.1.3 a 19.2.2Hoci je tento identifikátor spojený s rovnakým typom správania DoS ako CVE-2025-55184, zdôrazňuje, že aj aktualizované prostredia môžu zostať čiastočne vystavené riziku, ak sa v nich nachádzajú tieto prechodné vydania.
Rozsah ovplyvnených verzií ukazuje, ako Rýchly iteračný cyklus RSC môže skomplikovať správu záplat. Organizácie, ktoré vykonávajú sporadické aktualizácie alebo sa pripájajú ku konkrétnym vedľajším verziám, si nemusia uvedomiť, že novo dosiahnuté vydanie spadá do dotknutého okna, čím sa dôkladný audit verzií je nevyhnutný.
Vzhľadom na popularitu ekosystému React a rastúce využívanie serverových komponentov pre výkon a vývojárske skúsenosti, skupina aplikácií, ktorých sa to potenciálne týka CVE-2025-55183 a CVE-2025-55184 pravdepodobne bude zahŕňať široké spektrum odvetví a modelov nasadenia.
Opravené verzie a odporúčaná cesta k aktualizácii
Na riešenie týchto zraniteľností tím React vydal opravené verzie pre všetky tri dotknuté balíky RSCPoužívatelia sú vyzývaní, aby čo najskôr migrovali na nasledujúce opravené vydania:
- 19.0.3
- 19.1.4
- 19.2.3
Podľa správcov tieto aktualizácie úplne zmierniť problém odmietnutia služby, ktorý predstavuje CVE-2025-55184 a súvisiaci CVE-2025-67779, ako aj riziko zverejnenia informácií opísané v CVE-2025-55183. Dôležité je, že skorší vektor React2Shell (CVE-2025-55182) je tiež blokovaný širšou sadou záplat, ktoré boli vydané vo vetvách 19.x.
Tímy zodpovedné za produkčné nasadenie sa vyzývajú, aby to považovali za úloha údržby s vysokou prioritou, najmä vzhľadom na aktívne skúmanie zraniteľností RSC legitímnymi výskumníkmi aj nepriateľskými aktérmi. Ak nie je možné okamžité nasadenie najnovšej vedľajšej línie, organizácie by mali minimálne zabezpečiť nie sú zaseknuté na žiadnej z konkrétne uvedených zraniteľných zostáv.
Ako vždy, modernizácia knižníc by mala ísť ruka v ruke s testovanie a postupné zavádzaniePridanie regresných kontrol okolo kritických serverových funkcií, monitorovanie chybovosti po aktualizácii a kontrola protokolov pre nezvyčajnú deserializačnú alebo serializačnú aktivitu môže pomôcť zabezpečiť, aby sa nové verzie správali podľa očakávaní aj v reálnej prevádzke.
Rýchla dostupnosť záplat podčiarkuje postoj tímu React, že viacero kôl zverejnenia nie je nevyhnutne znakom neúspešnej nápravy, ale skôr cyklus zdravej reakcie, kde sa hĺbka obrany časom zlepšuje keďže sa odhaľuje a rieši viac okrajových prípadov a variantných ciest.
Ako boli zraniteľnosti objavené a nahlásené
Novo zdokumentované nedostatky odrážajú prebiehajúcu spoluprácu medzi nezávislí bezpečnostní výskumníci a program odmien za odhaľovanie chýb spoločnosti MetaProblémy s odmietnutím služby, CVE-2025-55184 a následný CVE-2025-67779, nahlásila spoločnosť RyotaK a Shinsaku Nomura, ktorý si zaslúžil uznanie za identifikáciu toho, ako by škodlivé užitočné zaťaženie mohlo spôsobiť, že RSC nebude reagovať.
Zraniteľnosť úniku informácií, CVE-2025 55183,, bol zverejnený Andrew MacPherson, ktorý zdôraznil podmienky, za ktorých môže serverová funkcia vrátiť svoj vlastný zdrojový kód, keď je predložená starostlivo zostavená HTTP požiadavka.
Tieto zistenia sa objavili v čase, keď sa výskumníci aktívne snažili záťažové testovanie existujúcich zmierňujúcich opatrení pre CVE-2025-55182Týmto spôsobom efektívne replikovali druh analytickej práce, ktorú by mohli vykonávať odhodlaní útočníci, ale v rámci zodpovedného nahlasovania a koordinovanej distribúcie záplat.
Tím React verejne uznal, že takéto vzory sú typické v celom softvérovom priemysle, a to nielen v rámci ekosystému JavaScriptu. Keď kritická chyba upúta pozornosť, vývojári aj protivníci ju hľadajú „variantné“ stratégie zneužívania pozdĺž susedných kódových ciest, čo niekedy odhalí predtým prehliadané slabiny.
Prostredníctvom rýchleho a transparentného riešenia chýb CVE-2025-55183, CVE-2025-55184 a CVE-2025-67779 sa správcovia snažia... udržať si náskok pred potenciálnym vyzbrojením a zároveň poskytuje organizáciám jasné pokyny, ako zabezpečiť nasadenie komponentov React Servera.
Kontext rizika: Prečo sú chyby mimo RCE stále dôležité
Aj keď tieto nové zraniteľnosti samy o sebe neumožňujú útočníkovi priame spustenie kódu na diaľku, stále ich možno vysokohodnotné nástroje v širšej súprave proti vniknutiuChyba typu „denial-of-service“, ako je CVE-2025-55184, sa môže použiť na narušenie prevádzky, slúžiť ako dymová clona, ktorá rozptyľuje obrancov, alebo skúmať, ako odolná je infraštruktúra organizácie pri abnormálnom zaťažení.
Paralelne s tým je možné použiť vektor expozície zdrojového kódu, ako napríklad CVE-2025-55183 môže podporiť prieskumné úsiliePrístup k internému textu serverových funkcií môže odhaliť, ako sa overujú požiadavky, ktoré parametre ovplyvňujú prístup k databáze, ako sa spracovávajú chyby a kde sú integrované služby tretích strán. Táto viditeľnosť je neoceniteľná pre útočníkov, ktorí sa snažia naplánovať presnejšie alebo nenápadnejšie pokusy o zneužitie.
V prostrediach, ktoré sa už potýkajú s následkami React2Shell (CVE-2025-55182), tieto ďalšie slabé stránky zvyšujú zložitosť celkovej situácie s hrozbami. Obrancovia sú nútení zvážiť nielen okamžitú prevenciu RCE, ale aj stabilita a dôvernosť správania RSC pri škodlivom vstupe.
Z hľadiska riadenia táto situácia zdôrazňuje, prečo Programy riadenia zraniteľností sa musia pozerať ďalej ako len na presvedčivé skóre CVSS 10.0Chyby so strednou a vysokou závažnosťou ovplyvňujúce dostupnosť a únik informácií môžu byť stále kľúčové, najmä v kombinácii s inými technikami v realistickom reťazci útokov.
Tento vývoj v konečnom dôsledku posilňuje myšlienku, že udržiavanie bezpečného nasadenia RSC nie je jednorazovou záležitosťou. Je to skôr pokračujúci proces... opravovanie, monitorovanie, testovanie a kontrola návrhu a sprístupnenia funkcií servera v priebehu času.
Keďže sa prach okolo núdzovej situácie React2Shell a s ňou súvisiacich následných objavov usadzuje, organizácie používajúce komponenty React Server sú nútené... prehodnotiť verzie závislostí, posilniť rozhrania na strane servera a rýchlo reagovať na bezpečnostné upozornenia od nadradených zdrojovDodržiavaním najnovších opravených vydaní a integráciou bezpečnostných kontrol do svojich vývojových pracovných postupov môžu tímy výrazne znížiť počet príležitostí pre útočníkov zameraných na zraniteľnosti CVE-2025-55183, CVE-2025-55184 a súvisiace RSC.
