Wichtige Erkenntnisse
- CVE-2025-55182 ist eine kritische Remote Code Execution Schwachstelle in React Server Components.
- Next.js weist einen verwandten Identifier, CVE-2025-66478, zu, aufgrund der Verwendung desselben zugrunde liegenden Flight-Protokolls.
- Betroffene Versionen umfassen react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack über mehrere React 19 Releases hinweg.
- Frameworks wie Next.js, React Router (RSC mode), Vite RSC plugin, Parcel RSC plugin, RedwoodSDK und Waku bündeln diese anfälligen Pakete.
- Aikido verfolgt jetzt 10/10 CVE-2025-55182 und die verwandte Next.js CVE-2025-66478. Verbinden Sie Ihre Repos, um danach zu scannen.
TLDR: Sehen Sie, wie Sie betroffen sind
Aikido verfolgt jetzt CVE-2025-55182 und die verwandte Next.js CVE-2025-66478. Verbinden Sie Ihre Repositories, um festzustellen, ob Ihre Anwendung oder deren Abhängigkeiten anfällige React Server Component Implementierungen enthalten.
Abhilfemaßnahmen
1. React aktualisieren
Installieren Sie eine gepatchte React-Version wie 19.0.1, 19.1.2 oder 19.2.1. Diese beinhalten eine gehärtete Eingabeverarbeitung.
2. Frameworks aktualisieren, die RSC bündeln
Aktualisieren Sie Ihr Framework auf die entsprechende gepatchte Version.
Next.js-Benutzer sollten auf das neueste gepatchte Release innerhalb ihrer Hauptversionslinie aktualisieren.
Jeder, der eine Canary-Version ab 14.3.0-canary.77 verwendet, sollte auf das neueste stabile 14.x Release zurückwechseln.
3. RSC-fähige Bundler und Plugins aktualisieren
Stellen Sie sicher, dass Sie Folgendes aktualisieren:
- Vite RSC Plugin
- Parcel RSC-Plugin
- React Router RSC-Vorschau
- RedwoodSDK
- Waku
Jeder hat Versionen veröffentlicht, die die korrigierte RSC-Implementierung enthalten.
4. Mit Aikido validieren
Führen Sie nach dem Upgrade einen Scan durch, um zu bestätigen, dass:
- Alle anfälligen Versionen wurden entfernt
- Keine transitiven Abhängigkeiten sind weiterhin betroffen
- Framework- und Bundler-Integrationen sind vollständig gepatcht
Hintergrund
CVE-2025-55182 ist eine kritische, nicht authentifizierte Remote Code Execution (RCE)-Schwachstelle, die React Server Components betrifft. Sie betrifft auch das breitere Ökosystem von Frameworks, die auf dem React Flight-Protokoll basieren. Next.js hat CVE-2025-66478 zugewiesen, um seine Exposition zu verfolgen, die auf demselben zugrunde liegenden Problem beruht.
Die Schwachstelle ermöglicht es speziell präparierten Anfragen, unsicheres Deserialisierungsverhalten innerhalb der serverseitigen RSC-Implementierung auszulösen, was unter bestimmten Bedingungen zu Remote Code Execution führen kann. Sie betrifft React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 sowie nachgelagerte Integrationen, die diese Pakete einbetten.
Tiefer Einblick
Art der Schwachstelle
Das Problem resultiert aus der unsicheren Handhabung serialisierter Payloads im React Flight-Protokoll. Fehlformatierte oder bösartige Payloads können die serverseitige Ausführung auf unbeabsichtigte Weise beeinflussen. Gepatchte React-Versionen umfassen eine strengere Validierung und ein gehärtetes Deserialisierungsverhalten.
Warum Sie auch ohne die Verwendung von Server Functions betroffen sein könnten
Frameworks betten die RSC-Implementierung standardmäßig ein. Eine Anwendung kann daher exponiert sein, selbst wenn sie keine Server Functions explizit definiert. Die Integrationsschicht selbst kann den anfälligen Codepfad aufrufen.
Betroffene Versionen
React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 sind anfällig.
Next.js-Versionen ab 14.3.0-canary.77 sowie alle 15.x- und 16.x-Releases vor ihren gepatchten Versionen sind aufgrund ihrer Verwendung der RSC-Implementierung betroffen.
Hinweise zur Hosting-Umgebung
Vercel hat Schutzmaßnahmen auf der Request-Ebene implementiert, um die Exposition zu reduzieren, während Benutzer ein Upgrade durchführen, aber diese beheben die Schwachstelle nicht. Alle Benutzer sollten so schnell wie möglich auf gepatchte Versionen aktualisieren.
Schweregrad
CVE-Score: 10.0 Kritisch
Auswirkung: Remote Code Execution
Angriffsvektor: Remote und nicht authentifiziert
Zeitplan
29. November: Schwachstelle gemeldet
30. November: Bestätigung und Entwicklung des Fixes
1. Dezember: Koordination mit Framework-Maintainern und Hosting-Providern
3. Dezember: Öffentliche Patches veröffentlicht und CVE offengelegt
Proof of Concept (Dank an @maple3142)
Das folgende Proof-of-Concept-Video, ursprünglich veröffentlicht von @maple3142 auf X, demonstriert, wie speziell präparierte Multipart-Anfragen unsichere Deserialisierung in betroffenen React- und Next.js-Versionen ausnutzen können. Der gesamte Dank gilt dem ursprünglichen Autor.
Sehen Sie sich das vollständige Proof-of-Concept-Video an hier.
Der Forscher demonstrierte, dass ein Angreifer durch Manipulation der Deserialisierungslogik von RSC die Kontrolle über den Chunk.prototype.then Auflösungspfad erlangen kann, was zur Ausführung von Angreifer-kontrollierter Logik während der Blob-Deserialisierung führt. Vollständige technische Details sind im Original-POC verfügbar, veröffentlicht auf GitHub Gist von @maple3142.
Scannen Sie jetzt Ihre Codebasis
Aikido verfolgt CVE-2025-55182 und CVE-2025-66478 in allen unterstützten Ökosystemen. Verbinden Sie Ihre Repositories, um einen vollständigen Scan durchzuführen und Ihre Exposition schnell zu bewerten. Starten Sie kostenlos mit Aikido hier.
Referenzen
React Team. Offenlegung von CVE-2025-55182
Vercel Sicherheitsmitteilung zu CVE-2025-55182 und CVE-2025-66478
Sichern Sie Ihre Software jetzt.
.avif)
