“Eu normalmente não digo isso, mas corrija agora mesmo”, escreveu um pesquisador. “A listagem React CVE (CVE-2025-55182) é um 10 perfeito.”
As versões 19.0.1, 19.1.2 ou 19.2.1 do React contêm o código vulnerável. Os componentes de terceiros conhecidos por serem afetados incluem:
- Plug-in Vite RSC
- Plug-in Parcela RSC
- Visualização RSC do roteador React
- RedwoodSDK
- Waku
- Próximo.js
De acordo com Wiz e sua empresa de segurança Aikido, a vulnerabilidade, rastreada como CVE-2025-55182, reside no Flight, um protocolo encontrado nos componentes do React Server. Next.js atribuiu a designação CVE-2025-66478 para rastrear a vulnerabilidade em seu pacote.
A vulnerabilidade decorre da desserialização insegura, o processo de codificação de conversão de strings, fluxos de bytes e outros formatos “serializados” em objetos ou estruturas de dados em código. Os hackers podem explorar a desserialização insegura usando cargas úteis que executam código malicioso no servidor. As versões Patched React incluem validação mais rigorosa e comportamento de desserialização reforçado.
“Quando um servidor recebe uma carga especialmente criada e malformada, ele não consegue validar a estrutura corretamente”, explicou Wiz. “Isso permite que dados controlados pelo invasor influenciem a lógica de execução do lado do servidor, resultando na execução de código JavaScript privilegiado.”
A empresa acrescentou:
Em nossa experimentação, a exploração desta vulnerabilidade teve alta fidelidade, com uma taxa de sucesso próxima de 100% e pode ser aproveitada para uma execução remota completa de código. O vetor de ataque não é autenticado e é remoto, exigindo apenas uma solicitação HTTP especialmente criada para o servidor de destino. Afeta a configuração padrão de estruturas populares.
Ambas as empresas estão aconselhando administradores e desenvolvedores a atualizar o React e quaisquer dependências que dependam dele. Os usuários de qualquer uma das estruturas e plug-ins habilitados para controle remoto mencionados acima devem consultar os mantenedores para obter orientação. O Aikido também sugere que administradores e desenvolvedores verifiquem suas bases de código e repositórios para qualquer uso do React usando este link.
