А тем временем в React и Next.js появились CVE c CVSS 10.0: - CVE-2025-55182 - CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182) Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки, использующие эти пакеты, включая Next.js 15.x и 16.x, использующие App Router. Фиксы есть в версиях: React: 19.0.1, 19.1.2, 19.2.1 Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 PoC пока не появился, но думаю, что можно ждать уже в ближайшее время. UPD: PoC появился. — React Blog: Critical Security Vulnerability in React Server Components Vercel: Summary of CVE-2025-55182 Github GitHub Advisory Database: Next.js is vulnerable to RCE in React flight protocol