Уязвимости в React Server Components и Next.js ставят под удар российские веб-ресурсы
От 10 до 25 тысяч российских веб-сайтов и сервисов, включая ресурсы малого бизнеса и подрядчиков, могут быть подвержены атакам из-за новых уязвимостей в React Server Components и Next.js, позволяющих выполнять произвольный код на сервере.
Обнаружены критические уязвимости в React Server Components (CVE-2025-55182) и фреймворке Next.js (CVE-2025-66478), которые позволяют неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Оценка CVSS для уязвимости в React составляет максимальные 10 баллов.
Как сообщили в компании BI.ZONE, под угрозой могут находиться от 10 до 25 тысяч российских веб-ресурсов. В группу риска входят сайты малого бизнеса и сервисы подрядчиков.
Уязвимости затрагивают React версий 19.0, 19.1.0, 19.1.1 и 19.2.0, а также пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Среди затронутых фреймворков, как указывается в сообщении компании, — Next.js (версии 15.x, 16.x и 14.3.0-canary.77 и новее), react-router, waku, @parcel/rsc, @vitejs/plugin-rsc и rwsdk.
В настоящее время эксплуатация данных уязвимых компонентов уже блокируется BI.ZONE WAF. Разработчикам настоятельно рекомендуется как можно быстрее обновить уязвимые компоненты.
