Поделиться
От 10 до 25 тыс. российских веб-ресурсов могут быть под ударом из-за новой критической уязвимости
В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Уязвимость также затронула приложения Next.js (CVE-2025-66478). Об этом CNews сообщили представители Bi.Zone.
Павел Загуменнов, руководитель решений анализа защищенности Bi.Zone: «По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тыс. российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например Bi.Zone CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее».
Уязвимы компоненты React версий 19.0; 19.1.0; 19.1.1; 19.2.0.
Уязвимы следующие пакеты React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack.
Дополнительно уязвимость затронула перечисленные фреймворки: next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk.
В случае Next.js уязвимы версии: Next.js 15.x, Next.js 16.x, Next.js 14.3.0-canary.77 и более новые canary-релизы
Эксплуатация уязвимости уже блокируется Bi.Zone WAF.
Поделиться
Короткая ссылка
