Wichtige Erkenntnisse
- CVE-2025-55182 ist eine kritische Sicherheitslücke in React Server Components, die die Ausführung von Remote-Code ermöglicht.
- Next.js weist aufgrund der Verwendung desselben zugrunde liegenden Flight-Protokolls eine zugehörige Kennung zu, CVE-2025-66478.
- Zu den anfälligen Versionen gehören react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack in mehreren React 19-Versionen.
- Frameworks wie Next.js, React Router (RSC-Modus), Vite RSC-Plugin, Parcel RSC-Plugin, RedwoodSDK und Waku bündeln diese anfälligen Pakete.
- Aikido verfolgt Aikido 10/10 CVE-2025-55182 und die damit verbundene Next.js CVE-2025-66478. Verbinden Sie Ihre Repositorys, um danach zu suchen.
TLDR: Sehen Sie, wie Sie davon betroffen sind
Aikido verfolgt Aikido CVE-2025-55182 und die damit verbundene Next.js CVE-2025-66478. Verbinden Sie Ihre Repositorys, um festzustellen, ob Ihre Anwendung oder deren Abhängigkeiten anfällige React Server Component-Implementierungen enthalten.
Abhilfemaßnahmen
1. React aktualisieren
Installieren Sie eine gepatchte React-Version wie 19.0.1, 19.1.2 oder 19.2.1. Diese enthalten eine verbesserte Eingabeverarbeitung.
2. Upgrade-Frameworks, die RSC bündeln
Aktualisieren Sie Ihr Framework auf die entsprechende gepatchte Version.
Next.js-Benutzer sollten auf die neueste gepatchte Version innerhalb ihrer Hauptversionsreihe aktualisieren.
Alle Benutzer einer Canary-Version ab 14.3.0-canary.77 sollten zur neuesten stabilen 14.x-Version zurückkehren.
3. RSC-fähige Bundler und Plugins aktualisieren
Stellen Sie sicher, dass Sie aktualisieren:
- Vite RSC-Plugin
- Paket-RSC-Plugin
- React Router RSC Vorschau
- RedwoodSDK
- Waku
Beide haben Versionen veröffentlicht, die die korrigierte RSC-Implementierung enthalten.
4. Mit Aikido validieren
Führen Sie nach dem Upgrade einen Scan durch, um Folgendes zu überprüfen:
- Alle anfälligen Versionen wurden entfernt.
- Es sind keine transitiven Abhängigkeiten mehr betroffen.
- Framework- und Bundler-Integrationen sind vollständig gepatcht.
Hintergrund
CVE-2025-55182 ist eine kritische Sicherheitslücke, die eine nicht authentifizierte Remote-Codeausführung ermöglicht und React Server Components betrifft. Sie wirkt sich auch auf das breitere Ökosystem von Frameworks aus, die auf dem React Flight-Protokoll basieren. Next.js hat CVE-2025-66478 zugewiesen, um die Gefährdung zu verfolgen, die auf dem gleichen zugrunde liegenden Problem beruht.
Die Schwachstelle ermöglicht es speziell gestalteten Anfragen, unsicheres Deserialisierungsverhalten innerhalb der serverseitigen RSC-Implementierung auszulösen, was unter bestimmten Bedingungen zur Ausführung von Remote-Code führen kann. Betroffen sind die React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 sowie nachgelagerte Integrationen, die diese Pakete einbetten.
Tieftauchen
Art der Schwachstelle
Das Problem resultiert aus der unsicheren Verarbeitung serialisierter Nutzdaten im React Flight-Protokoll. Fehlformatierte oder böswillige Nutzdaten können die serverseitige Ausführung auf unbeabsichtigte Weise beeinflussen. Die gepatchten React-Versionen umfassen eine strengere Validierung und ein verstärktes Deserialisierungsverhalten.
Warum Sie auch ohne Nutzung von Serverfunktionen betroffen sein können
Frameworks integrieren die RSC-Implementierung standardmäßig. Eine Anwendung kann daher auch dann offengelegt werden, wenn sie Serverfunktionen nicht explizit definiert. Die Integrationsschicht selbst kann den anfälligen Codepfad aufrufen.
Betroffene Versionen
Die React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 sind anfällig.
Next.js-Versionen ab 14.3.0-canary.77 sowie alle 15.x- und 16.x-Versionen vor ihren gepatchten Versionen sind aufgrund ihrer Verwendung der RSC-Implementierung betroffen.
Hinweise zur Hosting-Umgebung
Vercel hat Schutzmaßnahmen auf der Anwendungsebene implementiert, um das Risiko während des Upgrades durch die Benutzer zu verringern, diese beheben jedoch nicht die Sicherheitslücke. Alle Benutzer sollten so schnell wie möglich auf die gepatchten Versionen aktualisieren.
Schweregrad
CVE-Score: 10,0 Kritisch
Auswirkung: Remote-Codeausführung
Angriffsvektor: Remote und nicht authentifiziert
Zeitachse
29. November: Meldung der Sicherheitslücke
30. November: Bestätigung und Entwicklung einer Korrektur
1. Dezember: Abstimmung mit Framework-Betreibern und Hosting-Anbietern
3. Dezember: Veröffentlichung öffentlicher Patches und Bekanntgabe der CVE
Proof of Concept (Quelle: @maple3142)
Das folgende Proof-of-Concept-Video, ursprünglich veröffentlicht von @maple3142 auf X, zeigt , wie speziell gestaltete mehrteilige Anfragen die unsichere Deserialisierung in betroffenen React- und Next.js-Versionen ausnutzen können. Alle Rechte liegen beim ursprünglichen Autor.
Sehen Sie sich das vollständige Proof-of-Concept-Video an. hier.
Der Forscher zeigte, dass ein Angreifer durch Manipulation der Deserialisierungslogik von RSC die Kontrolle über das System erlangen kann. Chunk.Prototyp.Dann Auflösungsweg, der zur Ausführung von durch den Angreifer kontrollierter Logik während der Deserialisierung von Blobs führt. Vollständige technische Details finden Sie im ursprünglichen POC, der veröffentlicht wurde unter GitHub-Gist von @maple3142.
Scannen Sie jetzt Ihre Codebasis
Aikido CVE-2025-55182 und CVE-2025-66478 in allen unterstützten Ökosystemen. Verbinden Sie Ihre Repositorys, um einen vollständigen Scan durchzuführen und Ihre Gefährdung schnell zu bewerten. Starten Siehier kostenlos mit Aikido .
Referenzen
React-Team. CVE-2025-55182 Offenlegung
Sicherheitshinweis von Vercel zu CVE-2025-55182 und CVE-2025-66478
Sichern Sie Ihre Software jetzt.
.avif)
