O time do React divulgou três novas vulnerabilidades que afetam React Server Components (RSC), incluindo vetores de negação de serviço (DoS) e exposição de código-fonte de funções server-side. As correções anteriores foram consideradas incompletas e foram liberadas atualizações adicionais — desenvolvedores precisam atualizar imediatamente.
Descoberta e escopo / O que mudou agora
Pesquisadores descobriram os problemas ao tentar contornar as mitigações do incidente anterior conhecido como “React2Shell”. As falhas identificadas foram rastreadas como CVE-2025-55184 (DoS, CVSS 7.5), CVE-2025-67779 (DoS — bypass de patch, CVSS 7.5) e CVE-2025-55183 (exposição de código-fonte, CVSS 5.3). Segundo o relatório divulgado pela publicação, as bibliotecas afetadas incluem react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack, o que indica que projetos que dependem dessas implementações — como frameworks e apps que usam Server Functions — provavelmente estão impactados.
Vetor e exploração / Mitigações
O problema de maior severidade descrito (CVE-2025-55184 / CVE-2025-67779) envolve uma requisição HTTP malformada a um endpoint de Server Functions que pode provocar um loop infinito durante o processo de desserialização do React, fazendo com que o processo do servidor pare de responder e consuma CPU até indisponibilizar a aplicação. A outra falha (CVE-2025-55183) permite manipulação de requisições para vazar o código-fonte de Server Functions — o relatório destaca que segredos em tempo de execução (por exemplo, variáveis de ambiente) permanecem protegidos, mas trechos de código, lógica ou segredos hardcoded dentro das funções podem ser expostos.
O anúncio também aponta que as correções liberadas no início da semana (versões 19.0.2, 19.1.3 e 19.2.2) foram incompletas em alguns ramos, deixando instâncias ainda vulneráveis especificamente ao CVE-2025-67779. As versões consideradas “seguras”, conforme divulgado, são:
- 19.0.x → atualizar para 19.0.3
- 19.1.x → atualizar para 19.1.4
- 19.2.x → atualizar para 19.2.3
O comunicado credita as descobertas aos pesquisadores Andrew MacPherson, RyotaK e Shinsaku Nomura.
Impacto e alcance / Setores afetados
Como as bibliotecas afetadas são componentes de servidor para aplicações React, o impacto atinge diretamente equipes de desenvolvimento web e plataformas que hospedam aplicações server-rendered ou que utilizam Server Functions. Frameworks que dependem dos pacotes mencionados (o texto cita exemplos como Next.js, Waku e React Router) podem propagar o risco para múltiplos sites e serviços. A natureza das falhas — DoS de servidor e possível exposição de código — significa que tanto disponibilidade quanto confidencialidade de componentes lógicos podem ser comprometidas. Não há, no material fonte, indicação quantos projetos ou instâncias estão afetadas globalmente.
Limites das informações / O que falta saber
O texto original não fornece evidências de exploração ativa em ambiente real, nem métricas de impacto (número de instâncias afetadas, incidentes confirmados, ou exemplos de exploração em campanhas). Também não há detalhes técnicos completos do exploit público que permitam reproduzir a exploração — a descrição se limita a comportamento (loop infinito na desserialização; vazamento de código via requisições manipuladas). Não há indicação sobre mitigadores temporários (workarounds) além da atualização das dependências citadas.
Repercussão / Próximos passos
Recomenda-se que equipes de desenvolvimento e operações façam auditoria das dependências react-server-dom-* em seus projetos e atualizem imediatamente para as versões seguras indicadas (19.0.3, 19.1.4 ou 19.2.3, conforme ramo). Onde não for viável atualizar imediatamente, é prudente restringir o acesso a endpoints de Server Functions por meio de controles de bordo (WAF, rate limiting, verificação de origem/autenticação forte) até que a atualização seja aplicada — embora o relatório não liste workarounds oficiais. As equipes também devem revisar código de Server Functions em busca de segredos hardcoded ou lógica sensível que possa ser exposta caso ocorra fuga de código.
O anúncio compara a descoberta de vulnerabilidades adjacentes a incidentes anteriores de grande repercussão, ressaltando que frequentemente a investigação de uma falha crítica revela outras falhas relacionadas.
Observações finais
Os dados técnicos essenciais (CVE, pontuações CVSS, versões afetadas e versões seguras) foram fornecidos pela fonte; informações sobre exploração ativa, número de vítimas ou mitigadores complementares não constam no material disponível. Equipes devem priorizar atualização das bibliotecas e revisão de código em funções de servidor.
Fonte: Cyber Security News — relatório com creditação aos pesquisadores Andrew MacPherson, RyotaK e Shinsaku Nomura.