От 10 000 до 25 000 российских веб-ресурсов могут быть под ударом из-за новой критической уязвимости
Критическая уязвимость в React Server Components (CVE-2025-55182) и Next.js (CVE-2025-66478) позволяет атакующим выполнять произвольный код на сервере.
В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Уязвимость также затронула приложения Next.js (CVE-2025-66478).
Павел Загуменнов, руководитель решений анализа защищенности BI.ZONE, говорит:
«По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тысяч российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например BI.ZONE CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее».
Уязвимы компоненты React версий 19.0; 19.1.0; 19.1.1; 19.2.0.
Уязвимы следующие пакеты React:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
Дополнительно уязвимость затронула перечисленные ниже фреймворки:
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
В случае Next.js уязвимы версии:
Next.js 15.x
Next.js 16.x
Next.js 14.3.0-canary.77 и более новые canary-релизы
Эксплуатация уязвимости уже блокируется BI.ZONE WAF.
Дополнительная информация:
- https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- https://nextjs.org/blog/CVE-2025-66478
О компании
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов.
