anonhaven
CRITICAL CVSS 10,0 ACTIVE EXPLOIT

⚠️ CISA: Активно эксплуатируется (KEV)

Эта уязвимость активно эксплуатируется по данным CISA. Немедленное исправление КРИТИЧЕСКИ важно.

Крайний срок: 12 декабря 2025

CVE-2025-55182

Обновлено 10 декабря 2025

Уязвимость удаленного выполнения кода перед аутентификацией существует в серверных компонентах React версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0, включая следующие пакеты: response-server-dom-parcel, response-server-dom-turbopack и response-server-dom-webpack. Уязвимый код небезопасно десериализует полезные данные из HTTP-запросов к конечным точкам серверной функции.

Показать оригинальное описание (английский)

A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.

Матрица атаки

Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании

СТРОКА CVSS ВЕКТОРА

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Тип уязвимости (CWE)

CWE-502: Deserialization of Untrusted Data (Десериализация недоверенных данных)

Уязвимые продукты

facebook:react vercel:next.js

Известные затронутые конфигурации ПО

Конфигурация От (включительно) До (не включая)
cpe:2.3:a:facebook:react:19.0.0:*:*:*:*:*:*:*
Facebook:React
 - -
cpe:2.3:a:facebook:react:19.1.0:*:*:*:*:*:*:*
Facebook:React
 - -
cpe:2.3:a:facebook:react:19.1.1:*:*:*:*:*:*:*
Facebook:React
 - -
cpe:2.3:a:facebook:react:19.2.0:*:*:*:*:*:*:*
Facebook:React
 - -
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 15.0.0 15.0.5
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 15.1.0 15.1.9
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 15.2.0 15.2.6
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 15.3.0 15.3.6
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 15.4.0 15.4.8
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 15.5.0 15.5.7
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Vercel:Next.Js
 16.0.0 16.0.7
cpe:2.3:a:vercel:next.js:14.3.0:canary77:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary78:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary79:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary80:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary81:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary82:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary83:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary84:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary85:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary86:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:14.3.0:canary87:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
Vercel:Next.Js
 - -
cpe:2.3:a:vercel:next.js:16.0.0:-:*:*:*:node.js:*:*
Vercel:Next.Js
 - -

Источники и патчи