Souhrn
Dne 3. prosince 2025 společnosti Meta a Vercel odhalily CVE-2025-55182, kritickou zranitelnost v React Server Components (RSC), která umožňuje neověřené vzdálené spouštění kódu (RCE) na serverech s maximálním skóre CVSS 10.0. Tato chyba, nazvaná React2Shell, se aktivuje škodlivým HTTP POST požadavkem využívajícím protokol Flight pro serializaci dat v RSC. I aplikace s výchozí konfigurací Reactu jsou ohroženy a krátce po zveřejnění bylo zaznamenáno přes 4100 pokusů o exploitaci, včetně útoků ze strany čínského aktéra.
Klíčové body
- Zranitelnost postihuje React Server Components v Next.js a umožňuje RCE bez autentizace prostřednictvím protokolu Flight.
- Doporučené aktualizace: React 19.0.1, 19.1.2 nebo 19.2.1 spolu s odpovídajícími verzemi Next.js.
- Ověřte závislosti v package-lock.json nebo yarn.lock a použijte příkaz npm ci pro reprodukovatelné sestavení.
- Zscaler ThreatLabz detekoval exploitaci v decoy aplikacích a doporučuje okamžitou prioritu.
- Původně přiřazený CVE-2025-66478 pro Next.js byl odmítnut jako duplikát.
Podrobnosti
React Server Components (RSC) představují funkci v frameworku React, která umožňuje renderování komponent přímo na serveru, což zlepšuje výkon, snižuje velikost JavaScriptu na klientovi a usnadňuje server-side rendering v aplikacích jako Next.js. Protokol Flight slouží k serializaci a přenosu těchto komponent mezi serverem a klientem. Zranitelnost React2Shell zneužívá chybu v tomto protokolu, kdy škodlivý HTTP POST požadavek umožní útočníkovi spustit libovolný kód na serveru bez potřeby autentizace.
Podle analýzy Zscaler ThreatLabz z 8. prosince 2025 bylo v prvních dvou hodinách po disclosure zaznamenáno přes 4100 pokusů o exploitaci, což ukazuje na vysokou atraktivitu pro útočníky. Zscaler, firma specializující se na cloudovou bezpečnost a detekci hrozeb, zachytil tyto pokusy v decoy aplikacích svých zákazníků, což umožnilo rychlou reakci. Klienti s technologií Zscaler Deception tak mohli okamžitě blokovat útoky na okrajích sítě.
Správci aplikací na bázi Reactu a Next.js musí neprodleně aktualizovat na stabilní verze Reactu (19.0.1, 19.1.2, 19.2.1), které obsahují záplaty pro react-server-dom-* balíčky. Důležité je provést úplnou kontrolu závislostí v souborech package-lock.json nebo yarn.lock, protože částečné aktualizace nemusí stačit. Použití příkazu npm ci zajistí instalaci přesně definovaných verzí a eliminuje riziko regresí. Next.js, open-source framework pro React aplikace s podporou server-side renderingu a statických stránek, je primárně postižen, ale chyba se týká šíře používaného ekosystému.
Proč je to důležité
Tato zranitelnost představuje bezpečnostní krizi pro miliony webových aplikací postavených na Reactu a Next.js, které dominují modernímu vývoji frontendů. S CVSS 10.0 a rychlou exploitací včetně státních aktérů hrozí masivní kompromitace serverů, únik dat nebo nasazení malware. V širším kontextu podtrhuje nutnost pečlivé kontroly závislostí v npm ekosystému, kde zero-day exploity jako tento mohou ohrozit celé infrastruktury. Vývojáři by měli integrovat automatizované skenování závislostí a monitorování protokolů jako Flight do CI/CD pipelinek, aby minimalizovali podobná rizika v budoucnu. Zscaler pokrývá tuto hrozbu ve svých službách, což demonstruje efektivitu deception technologií proti rychle se šířícím exploitům.
Zdroj: 📰 Zscaler.com
