Uma falha crítica de segurança no React e Next.js pode permitir que invasores remotos executem códigos maliciosos em servidores sem fazer login.
O problema afeta os componentes do React Server (RSC) e o protocolo “Flight” usado para enviar dados entre o navegador e o servidor.
As vulnerabilidades são rastreadas como CVE-2025-55182 para React e CVE-2025-66478 para Next.js. Eles são classificados no nível de severidade mais alto e permitem a execução remota de código não autenticado.
Como a vulnerabilidade permite a execução remota de código
Em muitos casos, um invasor só precisa enviar uma solicitação HTTP especialmente criada para explorar um servidor vulnerável. O principal problema é a desserialização insegura dentro do tratamento de carga útil RSC “Flight”.
Quando o servidor recebe uma carga maliciosa, ele não consegue verificar corretamente sua estrutura. Como resultado, os dados controlados pelo invasor podem afetar o fluxo de execução do servidor e fazer com que o código JavaScript privilegiado seja executado.
CVE IDProdutoVersões VulneráveisPontuação CVSSCVE-2025-55182react-server-dom-webpack19.0.0, 19.1.0, 19.1.1, 19.2.010.0CVE-2025-55182react-server-dom-parcel19.0.0, 19.1.0, 19.1.1, 19.2.010.0CVE-2025-55182react-server-dom-turbopack19.0.0, 19.1.0, 19.1.1, 19.2.010.0CVE-2025-66478Next.js14.3.0-canary, 15.x, 16.x (Roteador de aplicativo)10.0
O risco é sério porque as configurações padrão são vulneráveis. Um aplicativo Next.js padrão criado com create-next-app e desenvolvido para produção sem alterações extras ainda pode ser atacado.
Os testes mostraram que a exploração é altamente confiável, com quase 100% de sucesso em condições de laboratório. Wiz Research relata que 39% dos ambientes em nuvem contêm instâncias vulneráveis de React ou Next.js.
Next.js aparece em 69% dos ambientes verificados, e a maioria deles possui aplicativos voltados ao público. Isso significa que um grande número de sistemas expostos à Internet podem estar em risco se não forem corrigidos.
React lançou correções nas versões 19.0.1, 19.1.2 e 19.2.1 dos pacotes react-server-dom.
Next.js também enviou versões reforçadas em filiais suportadas. Qualquer estrutura ou bundler que inclua a implementação vulnerável do servidor React.
Como React Router RSC, plug-ins Vite e Parcel RSC, RedwoodSDK e Waku, provavelmente são afetados. As equipes de segurança são incentivadas a atualizar imediatamente o React, Next.js e todas as dependências relacionadas habilitadas para RSC.
As mitigações do provedor de hospedagem podem reduzir o risco, mas não substituem a correção. Até que os sistemas sejam totalmente atualizados, qualquer implantação exposta do componente React Server deve ser tratada como de alto risco de comprometimento.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
