Qawipsizdik eskertui6 jeltoqsan 20258 min oqu

CVE-2025-55182: React-tağı qawipti RCE osaldığı — Sizdiñ Next.js qosımcañız būzılğan ba?

React Server Components-tağı qawipti qacıqtan kod orındaw osaldığı belsendi türde paydalanıluda. Mine, biluiñiz kerek barlıq aqparat.

9.8

CVSS bağası

QAWIPTI DEÑGEY

Cabuıl vektorı: Jeli

Eksployt jetilui: Qarulanğan

Patch qoljetimdi: Iä

Belsendi paydalanu: Rastalğan

Qısqaca — Qazir jañartıñız!

CVE-2025-55182 — React Server Components-tağı qakipti RCE osaldığı
Cabuılcılar bir HTTP sūrawımen serveriñizde kez kelgen kodtı orınday aladı
2025 jıldıñ 5 jeltoqsanınan bastap belsendi paydalanu bayqaldı
Zardap cekkender: React 19.x, Next.js 14.3+, 15.x, 16.x App Router-men
Cecim: React 19.0.1/19.1.2/19.2.1 jäne Next.js 15.0.5+/16.0.8+ jañartıñız

CVE-2025-55182 degenimiz ne?

CVE-2025-55182, qawipsizdik zerttewcileri "React2Shell" dep atağan, React Server Components "Flight" hattamasındağı qawipti qacıqtan kod orındaw (RCE) osaldığı. Osaldıq serverde RSC paketterin öñdew kezinde qawipsiz emes deserializatsiyadan tuındaydı. Būl osaldıq awtentifikatsiyalanbağan cabuılcığa arnayı jasalğan HTTP sūrawın jiberu arqılı serveriñizde kez kelgen JavaScript kodın orındawğa mümkindik beredi. Awtentifikatsiya qajet emes. Paydalanucı äreketi qajet emes. Bir ziyandı sūraw — jäne serveriñiz būzıldı.

Cabuıl protsesiniñ vizualizatsiyası

Cabuılcı būzılğan RSC paketin äzirleydi
Paket HTTP POST arqılı osal endpointke jiberiledi
Server paketti tekserusiz deserializatsiyalaydı
Ziyandı kod server qūqıqtarımen orındaladı
Serverdiñ tolıq būzıluına qol jetkizildi

Būl qalay jūmıs isteydi?

Osaldıq arnayı jasalğan, būrmalanğan RSC paketteriniñ qawipsiz emes öñdeluin paydalanadı. Server mūnday paketti alğanda, qūrılımdı dūrıs teksermeydi, būl cabuılcı basqaratın derekterge server jağındağı orındaw logikasına äser etuge mümkindik beredi. Cabuıl protsesi qarapayım: 1. Cabuılcı HTTP POST sūrawı arqılı būrmalanğan RSC paketin jiberedi 2. Server paketti tiisti tekserusiz deserializatsiyalaydı 3. Cabuılcı basqaratın kod server qūqıqtarımen orındaladı 4. Serverdiñ tolıq būzıluına qol jetkizildi Būl äsirese qawipti, öytkeni create-next-app ädepki konfiguratsiyaları osal. Eger siz soñğı bir jılda App Router-men Next.js qosımcasın ornalastırsañız, siz qawip astında boluıñız mümkin.

PoC mısalı

POST /_rsc HTTP/1.1
Host: vulnerable-app.com
Content-Type: text/x-component

0:["$","$L1",null,{"__rsc_payload__":
  {"$$typeof":"__MALICIOUS_MARKER__",
   "type":{"$$typeof":"EXPLOIT_FUNC",
   "render":"__ARBITRARY_CODE__"}}
}]

Būl cabuıl vektorınıñ jeñildetilgen körinisi. Naqtı eksployt arnayı jasalğan Flight hattama derekterin paydalanadı.

Paydalanu äreketterin qalay anıqtawğa boladı

[01]/_rsc nemese Server Component endpointterine ädetten tıs POST sūrawları
[02]RSC paketterimen dūrıs emes Content-Type taqırıptarı
[03]Veb-serverlerde kütpegen protsesterdiñ payda boluı
[04]Serverden belgisiz IP mekenjaylarına cığıs qosılımdar
[05]Server jurnaldarında orta aynımalılarına qol jetkizu

Äseri men mañızdılığı

CVSS bağası: 9.8 (qawipti) Būl osaldıqtıñ äserin asıra bağalaw mümkin emes: • Awtentifikatsiyasız RCE: Cabuılcılarğa tek jasalğan HTTP sūrawın jiberu jetkilikti • Ädepki konfiguratsiyalar osal: Standarttı create-next-app ornalastıruları qawip astında • 100%-ğa jaqın senimdilik: Testilew joğarı tūraqtı paydalanu sättiligin körsetti • Belsendi paydalanu: Naqtı cabuıldar 2025 jıldıñ 5 jeltoqsanınan bastaldı Wiz qawipsizdik zerttewcileri belsendi paydalanu nawqandarın bayqadı, sonıñ icinde: - Orta aynımalılarınan tirkelgi derekterin jinaw - Kriptomayning paydalı jüktemelerin ornalastıru - Tūraqtı qol jetkizu ücin keri qabıqcalardı ornatu - Derekterdi eksfiltratsiyalaw äreketteri

Nūsqalardı salıstıru

Package	OSAL	TÜZETILGEN
React	19.0.0, 19.1.x, 19.2.0	19.0.1, 19.1.2, 19.2.1
Next.js 15.0	15.0.0 - 15.0.4	15.0.5
Next.js 15.1	15.1.0 - 15.1.8	15.1.9
Next.js 15.2	15.2.0 - 15.2.5	15.2.6
Next.js 16.0	16.0.0 - 16.0.6	16.0.8

Zardap cekken nūsqalar

React paketteri (react-server-dom-webpack, react-server-dom-parcel, t.b.): • 19.0.0 (barlıq qūrastırular) • 19.1.0, 19.1.1 • 19.2.0 Next.js (App Router qosılğan): • 14.3.0-canary.77 jäne keyingi canary cığarılımdarı • 15.0.0-den 15.0.4-ke deyin • 15.1.0-den 15.1.8-ge deyin • 15.2.0-den 15.2.5-ke deyin • 15.3.0-den 15.3.5-ke deyin • 15.4.0-den 15.4.7-ge deyin • 15.5.0-den 15.5.6-ğa deyin • 16.0.0-den 16.0.6-ğa deyin Basqa zardap cekken freymvorktar: • Vite RSC plugin • Parcel RSC • React Router (RSC-men) • RedwoodSDK • Waku

Qalay tüzetuge boladı

Derew jañartu — jalğız senimdi cecim. Osı tüzetilgen nūsqalarğa jañartıñız: Jañartu ücin orındañız:

# npm ücin
npm update react react-dom next

# yarn ücin
yarn upgrade react react-dom next

# pnpm ücin
pnpm update react react-dom next

# Nūsqalarıñızdı tekseriñiz
npm list react next

Osal ekeniñizdi qalay tekseruge boladı

Ağımdağı nūsqalarıñızdı tekseru ücin osı komandalardı orındañız:

# React nūsqasın tekseru
npm list react

# Next.js nūsqasın tekseru
npm list next

# App Router paydalanıluın tekseru
# Joba tübirinde 'app' katalogın izdeñiz

Eger siz joğarıda körsetilgen zardap cekken nūsqalardıñ kez kelgenin jäne App Router ('app' katalogın) paydalansañız, siz osalsız jäne derew jañartuıñız kerek. TEPTEZ sizdiñ qosımcalarıñızdı osı jäne basqa CVE osaldıqtarına avtomattı türde skanerley aladı. Bizdiñ platforma osal täweldilikterdi anıqtaydı jäne joyu boyınca nūsqawlar beredi.

Hronologiya

• 2025 qaraca: Osaldıqtı qawipsizdik zerttewcileri taptı • 2025 jıldıñ 2 jeltoqsanı: React komandasına habarlandı • 2025 jıldıñ 3 jeltoqsanı: React komandasınan resmi habarlama jariyalandı • 2025 jıldıñ 4 jeltoqsanı: Barlıq zardap cekken nūsqalar ücin patchtar cığarıldı • 2025 jıldıñ 5 jeltoqsanı: Belsendi paydalanu anıqtaldı • 2025 jıldıñ 6 jeltoqsanı: Wiz tolıq tehnikalıq taldawdı jariyaladı

Siltemeler

TEPTEZ arqılı qosımcalarıñızdı qorğañız

Kelesi zero-day kütpeñiz. TEPTEZ qosımcalarıñızdı CVE osaldıqtarı, dūrıs emes konfiguratsiyalar jäne qawipsizdik qaterlerine üzdiksiz baqılaydı.

Tegin skanerlewdi bastaw

← Back to Blog