Hack Alerta

RCE crítico em React Server Components (CVE-2025-55182) atinge RSC/Next.js

Por Redação Hack Alerta Publicado em 03/12/2025 16:01 Riscos e Ameaças Tempo de leitura: 3 min

Uma falha crítica (CVE-2025-55182, CVSS 10.0) em React Server Components permite execução remota de código sem autenticação ao explorar a forma como o framework decodifica payloads enviados a endpoints de Server Functions. A divulgação veio do React Team; a matéria não detalha versões corrigidas.

Uma falha de gravidade máxima em React Server Components permite execução remota de código sem autenticação, segundo divulgação do React Team.

Descoberta e panorama

O problema, rastreado como CVE-2025-55182 e classificado com CVSS 10.0, afeta o subsistema de React Server Components (RSC) e pode ser explorado ao enviar payloads malformados para endpoints de React Server Functions. "unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints," disse o React Team, conforme reportado pela fonte.

Abordagem técnica

Segundo a matéria original, a exploração ocorre na etapa de decodificação de payloads enviados aos endpoints de Server Functions do RSC, permitindo que um atacante remoto, sem necessidade de credenciais, faça RCE (remote code execution). A matéria não detalha completamente o vetor de baixo nível (por exemplo, tipos de payloads ou rotinas afetadas), apenas descreve que a falha reside no mecanismo de decodificação.

Impacto e alcance

  • CVE: CVE-2025-55182.
  • CVSS reportado: 10.0 (máxima severidade).
  • Componentes envolvidos: React Server Components / React Server Functions — tecnologias usadas em aplicações React e em frameworks que integram RSC, como Next.js.

O contexto torna a falha particularmente perigosa: bibliotecas e frameworks de UI amplamente usados (React e suas integrações, incluindo Next.js) podem expor endpoints de servidor que, se não isolados, aceitam payloads do cliente. A exploração remota e não autenticada aumenta o risco de campanhas amplas e de comprometimento de servidores de aplicações web.

Mitigações e recomendações

A matéria reporta a divulgação pelo React Team, mas não descreve de forma completa se há patch já publicado ou quais versões estão corrigidas. As fontes não detalham procedimento de atualização nem versões corrigidas no conteúdo disponível.

Administradores devem priorizar revisão de endpoints de Server Functions, isolar serviços de backend quando possível e monitorar comunicados oficiais do React Team e do projeto Next.js para aplicar correções assim que disponíveis. A matéria não traz regras específicas de mitigação além da divulgação da vulnerabilidade.

Limites das informações

O texto original não traz o código de prova de conceito nem lista de versões afetadas além de apontar o componente (RSC). Também não há, na matéria consultada, atribuição de exploração ativa em massa ou evidência de campanhas em andamento — a fonte limita-se a divulgar a gravidade e a natureza da falha.

Relevância para equipes de segurança

Por se tratar de uma biblioteca/framework com ampla adoção, a falha exige atenção imediata dos times de desenvolvimento e infraestrutura: revisão de exposição de endpoints de Server Functions, aplicação de controles de rede entre frontend e backend e acompanhamento do advisory oficial para aplicação de correções.

Fonte: The Hacker News

Baseado em publicação original de The Hacker News
Tags: #react #nextjs #rsc #rce #cve-2025-55182 #cvss10 #server-functions #deserialization #web
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar