CERT-IS sendi í gær tilkynningu vegna CVE-2025-55182 veikleikans í React sem gerir ógnaraðila kleift að fjarkeyra kóða (e. Remote code execution) á þjóni. Einnig hefur veikleikinn áhrif á next.js sem skrifað er ofan á React Server Components og hefur sá veikleiki fengið veikleikanúmerið CVE-2025-66478 og er einnig með CVSSv3 veikleikastig upp á 10.
Um veikleikana
Veikleikarnir gera ógnaraðila kleift að fjarkeyra kóða á þjóni með því að senda sérútbúna HTTP fyrirspurn á endapunkta fyrir föll á React þjóninum (e. React Server Function endpoints). Þó svo að kerfi sé ekki að nota neina React endapunkta fyrir föll getur veikleikinn samt verið misnotaður ef að þjónn styður við React Server Component.
Hægt er að misnota veikleikana á eftirfarandi pökkum:
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Veikleikinn er í react-server pakka sem notaðar er af React Server Component, Next.js erfir veikleikann í gegnum útfærsluna á RSC „flight“ protocol. Líklegt er að veikleikinn sé einnig til staðar í Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK og Waku.
Þar sem mjög auðvelt er að misnota veikleikana mælir CERT-IS með að allir uppfæri án tafar í eftirfarandi útgáfur:
- React: í útgáfur 19.0.1, 19.1.2, eða 19.2.1.
- Next.js: í útgáfur 15.0.5 eða nýrri.
Ef ekki er hægt að fara í uppfærlsur mælir CERT-IS með að eftirfarandi mótvægisaðgerðir séu útfærðar:
- Skanna kerfið eftir veikleikum með öryggistólum
- Setja WAF reglur
- Fylgjast með netumferð og grunsamlegum HTTP fyrirspurnum
Nú þegar er búið að gefa út kóðabúta sem hægt er að nota í misnotkun á veikleikanum.