Уязвимость удаленного выполнения кода перед аутентификацией существует в серверных компонентах React версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0, включая следующие пакеты: response-server-dom-parcel, response-server-dom-turbopack и response-server-dom-webpack. Уязвимый код небезопасно десериализует полезные данные из HTTP-запросов к конечным точкам серверной функции.
Показать оригинальное описание (EN)
A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 82
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Facebook React
cpe:2.3:a:facebook:react:19.0.0:*:*:*:*:*:*:*
|
— | — |
|
Facebook React
cpe:2.3:a:facebook:react:19.1.0:*:*:*:*:*:*:*
|
— | — |
|
Facebook React
cpe:2.3:a:facebook:react:19.1.1:*:*:*:*:*:*:*
|
— | — |
|
Facebook React
cpe:2.3:a:facebook:react:19.2.0:*:*:*:*:*:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
15.0.0
|
15.0.5
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
15.1.0
|
15.1.9
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
15.2.0
|
15.2.6
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
15.3.0
|
15.3.6
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
15.4.0
|
15.4.8
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
15.5.0
|
15.5.7
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
|
16.0.0
|
16.0.7
|
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary77:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary78:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary79:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary80:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary81:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary82:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary83:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary84:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary85:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary86:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:14.3.0:canary87:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
|
— | — |
|
Vercel Next.Js
cpe:2.3:a:vercel:next.js:16.0.0:-:*:*:*:node.js:*:*
|
— | — |
Ссылки 6
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-serv…
cve-assign@fb.com
https://www.facebook.com/security/advisories/cve-2025-55182
cve-assign@fb.com
http://www.openwall.com/lists/oss-security/2025/12/03/4
af854a3a-2127-422b-91ae-364da2661108
https://news.ycombinator.com/item?id=46136026
af854a3a-2127-422b-91ae-364da2661108
https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-e…
134c704f-9b21-4f2e-91b3-4a467353bcc0
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025…
134c704f-9b21-4f2e-91b3-4a467353bcc0