Ir para conteúdo

Alerta de Vulnerabilidade - React Server Components

04 Dez 2025

Alerta de Vulnerabilidade - React Server Components

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
React Server Components
ECOSSISTEMA
Outro
Descrição
As vulnerabilidades críticas CVE-2025-55182/EUVD-2025-200983 e CVE-2025-66478/EUVD-2025-200984 (duplicado) dizem respeito à mesma falha de desserialização insegura no protocolo "Flight" do React Server Components (RSC), afetando as seguintes aplicações [1][2][3][4][5]:
  • react-server-dom-turbopack: 19.0.0, 19.1.0, 19.1.1, e 19.2.0
  • react-server-dom-parcel:     19.0.0, 19.1.0, 19.1.1, e 19.2.0
  • react-server-dom-webpack:    19.0.0, 19.1.0, 19.1.1, e 19.2.0
  • Next.js: a partir de 14.3.0-canary.77 (inclusive), 15.x, e 16.x (App Router)
 
Frameworks ou bibliotecas que incluam a implementação do react-server podem ser afetadas. 

Impacto
Quando explorada com sucesso, esta vulnerabilidade permite a execução remota de código (RCE), sem necessidade de autenticação, através do envio do envio de pedidos HTTP/HTTPS especialmente criados [5][6].

 

Resolução
Recomenda-se atualizar para as versões corrigidas [5][6]:
  • react-server-dom-turbopack: 19.0.1, 19.1.2, e 19.2.1
  • react-server-dom-parcel:     19.0.1, 19.1.2, e 19.2.1
  • react-server-dom-webpack:    19.0.1, 19.1.2, e 19.2.1
  • Next.js: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
 
Caso não seja possível atualizar imediatamente, recomenda-se:
  • Limitar ou desativar temporariamente funcionalidades de RSC acessíveis diretamente a partir da Internet;
  • Bloquear padrões conhecidos de exploração de RSC nos sistemas de defesa (ex. WAF, reverse proxy, firewall);
  • Monitorização de logs para detetar tentativas de exploração.
Referências

[1] - https://nvd.nist.gov/vuln/detail/CVE-2025-55182
[2] - https://nvd.nist.gov/vuln/detail/CVE-2025-66478
[3] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2025-200983
[4] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2025-200984
[5] - https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components 
[6] - https://nextjs.org/blog/CVE-2025-66478 

Última atualização em 07-09-2022