Критическая уязвимость в React Server Components (CVSS 10.0). Рекомендуется обновление 🚨 React-команда официально сообщила о серьёзной проблеме безопасности в React Server Components. Уязвимость позволяет выполнить произвольный код на сервере без аутентификации — достаточно отправить специально сформированный HTTP-запрос. Даже если вы не используете React Server Functions напрямую — вы всё равно можете быть уязвимы, если ваш проект поддерживает React Server Components. Уязвимость получила идентификатор CVE-2025-55182, оценку CVSS 10.0, и затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 следующих пакетов: react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack 🔘Что делать прямо сейчас Патч уже опубликован. Нужно обновиться на версии: 19.0.1, 19.1.2, 19.2.1. Если ваш React-код вообще не работает на сервере, или вы не используете фреймворки/бандлеры с поддержкой RSC, то вы не затронуты. Некоторые экосистемы зависели от уязвимых пакетов. В зоне риска: Next.js React Router (нестабильные RSC-API) Waku @parcel/rsc @vitejs/plugin-rsc Redwood SDK Команда React работает с хостинг-провайдерами, и временные смягчения уже включены. Но на них рассчитывать нельзя — обновляться всё равно нужно. 🔘В чём суть уязвимости React Server Functions позволяют клиенту вызывать функции на сервере. На стороне клиента вызов превращается в HTTP-запрос, который React затем десериализует и мапит на вызов серверной функции. Проблема — в том, как React декодирует payload от клиента. Атакующий может создать вредоносный HTTP-запрос, который при десериализации приводит к удалённому выполнению кода. Подробности раскроют позже, когда обновления будут полностью раскатаны. 🔘Инструкция по обновлению Next.js Установите патч в рамках вашей версии: npm install next@15.0.5 npm install next@15.1.9 npm install next@15.2.6 npm install next@15.3.6 npm install next@15.4.8 npm install next@15.5.7 npm install next@16.0.7 Если вы сидите на 14.3.0-canary.77 или выше — откатитесь на стабильную 14.x: npm install next@14 React Router (нестабильные RSC API) Обновите зависимости: npm install react@latest npm install react-dom@latest npm install react-server-dom-parcel@latest npm install react-server-dom-webpack@latest npm install @vitejs/plugin-rsc@latest Expo См. changelog на expo.dev. Redwood SDK npm install rwsdk@latest npm install react@latest react-dom@latest react-server-dom-webpack@latest Waku npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest Vite RSC npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest Parcel RSC npm install react@latest react-dom@latest react-server-dom-parcel@latest Turbopack RSC npm install react@latest react-dom@latest react-server-dom-turbopack@latest Webpack RSC npm install react@latest react-dom@latest react-server-dom-webpack@latest 📅 Таймлайн 29 ноября — уязвимость найденa и отправленa в Meta Bug Bounty. 30 ноября — Meta подтвердила и начала работать над фиксом с командой React. 1 декабря — фикc готов, идёт работа с хостингами и OSS-проекта́ми над валидацией и mitigations. 3 декабря — патч опубликован, уязвимость раскрыта публично. 📍 Ссылка на оригинал статьи...