A Meta biztonsági csapata december 3-án bejelentette a CVE-2025-55182 kritikus sebezhetőséget, amely a React Server Components, Next.js és kapcsolódó keretrendszereket érint. A 10.0-ás CVSS pontszámmal értékelt sérülékenység lehetővé teszi a támadók számára, hogy egyetlen rosszindulatú HTTP kéréssel tetszőleges kódot futtassanak a sebezható szervereken.
A biztonsági kutatók már december 5-től észlelték a sebezhetőség kihasználását, és bár a legtöbb sikeres támadás tesztkörnyezetből származott, valós támadásokat is megfigyeltek, amelyek során a támadók kripto-bányász szoftvereket telepítettek. Mind a Windows, mind a Linux környezetek érintettek a sebezhetőségben.
Mi a React Server Components?
A React Server Components ökoszisztéma csomagok, keretrendszerek és bundlerek gyűjteménye, amely lehetővé teszi a React 19 alkalmazások számára, hogy logikájuk egy részét a szerveren futtassák a böngésző helyett. Ez jelentős előnyöket nyújt a teljesítmény és a felhasználói élmény terén, azonban a mostani sebezhetőség komoly kockázatot jelent.
Hogyan működik a támadás?
A sebezhetőség kihasználásához a támadó egy manipulált bemenetet küld POST kérés formájában a React Server Components funkciókat futtató webalkalmazásnak. Ez a bemenet szerializált objektumként kerül feldolgozásra és továbbításra a backend szerverre, ahol deszerializálódik. Az alapértelmezett bizalom miatt a komponensek között a támadó által megadott bemenet deszerializálódik, és a backend futtatja a támadó által megadott kódot a NodeJS futtatókörnyezetben.
Milyen következményekkel jár?
A kihasználás után a támadók tetszőleges parancsokat hajthatnak végre, például visszafelé irányuló shell kapcsolatokat hoznak létre ismert Cobalt Strike szerverekhez. A tartósság eléréséhez a támadók új rosszindulatú felhasználókat hoznak létre, távoli felügyeleti és irányítási eszközöket használnak, mint a MeshAgent, módosítják az authorized_keys fájlt, és engedélyezik a root bejelentkezést.
Melyik verziók érintettek?
A sebezhetőség a React 19.0, 19.1.0, 19.1.1 és 19.2.0 verzióiban található meg. A javítás a 19.0.1, 19.1.2 és 19.2.1 verziókban jelent meg. A Next.js esetében a ≥14.3.0-canary.77, ≥15 és ≥16 verziók érintettek, valamint más keretrendszerek és pluginok is, amelyek a React Server Components implementációt tartalmazzák, mint például a Vite, Parcel, React Router, RedwoodSDK és Waku.
Ipari válasz és védekezés
A Vercel gyorsan új szabályokat hozott létre a sebezhetőség kezelésére és automatikusan bevezette azokat a Vercel WAF-ban, hogy minden Vercel-en hosztolt projektet ingyenesen megvédjen. A cég a React csapattal együttműködve ajánlásokat juttatott el a legnagyobb WAF és CDN szolgáltatókhoz is.
A Unit 42 kutatói már megfigyelték a sebezhetőség kihasználását követő tevékenységeket, beleértve az automatizált szkennelést a távoli kódfuttatási sebezhetőség után kutatva, valamint Base64-kódolt parancsokat. A támadók wget és curl segítségével töltöttek le és futtattak rosszindulatú szkripteket.
Mit kell tenni a fejlesztőknek?
A legfontosabb lépés az azonnali frissítés egy javított verzióra. Ne hagyatkozzanak csak a WAF védelemre – a sebezhetőség kijavításához közvetlen frissítés szükséges a javított verziókra. A CVE-2025-55182 nagy hatású, alacsony súrlódású támadási útvonalat jelent a modern React Server Components telepítések ellen. A gyors javítás és a réteges Defender monitoring és WAF védelem kombinációja nyújtja a legerősebb rövid- és hosszú távú kockázatcsökkentési stratégiát.
Forrás: Microsoft Security Blog - https://www.microsoft.com/en-us/security/blog/2025/12/15/defending-against-the-cve-2025-55182-react2shell-vulnerability-in-react-server-components/
A cikk AI segítségével készült, hiteles nemzetközi forrásokból származó információk alapján.