Уязвимость CVE-2025-55182 в протоколе Flight для React Server Components получила максимальную оценку 10,0 и с декабря 2025 года используется в атаках. В России, по данным BI.ZONE, под удар попали страховые компании, магазины автозапчастей и IT-разработчики. Во всех трех случаях атаки удалось остановить, среднее время реагирования составило 13 минут.
Flight это механизм, через который клиент и сервер обмениваются данными в React Server Components. Проблема в том, как сервер обрабатывает данные, которые приходят от пользователя. React неправильно проверяет эти данные перед обработкой. В уязвимых версиях серверные пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack в ветке React 19.0.0, 19.1.0, 19.1.1 и 19.2.0 принимали запрос и разбирали его так, что атакующий мог добиться выполнения произвольного кода на сервере без аутентификации.
Это не проблема браузера и не проблема одного фреймворка. Уязвимость затрагивает серверную часть приложений, которые используют React Server Components, а значит цепляет и популярные сборки на базе Next.js и других решений, где RSC включены или подключаются по умолчанию.

BI.ZONE пишет, что в декабре 2025 злоумышленники в основном пытались установить майнер XMRig, чтобы использовать ресурсы серверов для добычи Monero. В одном из инцидентов они также пробовали развернуть Kaiji и RustoBot. Первый ориентирован на Linux-серверы и устройства, второй известен атаками на сетевое оборудование, включая роутеры TOTOLINK.
Механика после проникновения выглядит типично для таких кампаний. Атакующие подтягивали Bash-скрипты с удаленных ресурсов, которые скачивали ELF-файлы под linux_386 или linux_amd64. В отчете фигурирует XMRig версии 6.24.0. Закрепление делали через systemd или cron.
Масштаб и скорость
Эта уязвимость стала массовой не потому, что она сложная, а потому, что ее легко проверять и быстро эксплуатировать. Google Threat Intelligence отмечала, что первые цепочки с установкой XMRig наблюдались уже с 5 декабря 2025 года, и на подпольных форумах почти сразу пошли сканеры и PoC.
По оценкам BI.ZONE и отраслевых наблюдений, в сети насчитывались десятки тысяч потенциально уязвимых узлов. В одном из срезов упоминалось около 87 000 таких систем, из них порядка 2 000 в России. Отдельные источники оценивали экспозицию выше 90 000.
Microsoft в своем разборе подтверждала, что видела несколько сотен скомпрометированных узлов по миру. В разных цепочках после эксплуатации ставили Cobalt Strike, VShell, EtherRAT и имплант Sliver. То есть уязвимость использовали не только для майнинга, но и для полноценного закрепления и дальнейших действий внутри сети.
Почему это больно именно для разработчиков
Проблема в том, что многие команды могут даже не осознавать, что используют уязвимый компонент. Типовой проект на Next.js с серверными компонентами и стандартной сборкой может оказаться уязвимым без каких-либо экзотических настроек. И дальше все зависит не от качества кода компании, а от скорости обновления и видимости того, что реально развернуто в продакшене.
Positive Technologies в январских обзорах трендов уязвимостей отдельно выделяла React2Shell как одну из наиболее опасных проблем, требующих быстрого закрытия или компенсирующих мер.
CVE-2025-55182 показала знакомый сценарий: критический баг в популярной технологии, быстрое появление PoC, волна автоматического сканирования, затем более тяжелые нагрузки. Если у компании нет привычки быстро понимать, какие версии реально стоят в продакшене, и обновляться без недельных пауз, такие истории будут повторяться.
