В компании «Газинформсервис» проанализировали критические RCE-уязвимости в экосистеме React/Next.js

Специалисты компании «Газинформсервис» проанализировали критические уязвимости CVE-2025-55182 и CVE-2025-66478 в экосистеме React и Next.js.

Согласно данным исследователей, атаки эксплуатируют уязвимости в механизмах Server Side Rendering (SSR) и React Server Components в версиях React 19 и Next.js 13.4+, позволяя злоумышленнику выполнять произвольный код на сервере (RCE).

Директор по продуктам компании «Газинформсервис» Сергей Никитин отметил, что компания проводит постоянный мониторинг безопасности сторонних библиотек и готова к оперативному обновлению решений в случае возникновения угроз.

Например:

• Efros Defence Operations базируется на React 18.x, создаётся как статическое одностраничное приложение (SPA), выполняющееся целиком на стороне клиента. Сервисы на сервере не взаимодействуют с React и не используют Node.js или другие JavaScript-рантаймы. Таким образом, отсутствуют условия для эксплуатации уязвимостей.
• SafeERP использует React 18, в котором указанные уязвимости отсутствуют. Фреймворк Next.js не применяется.
• Компоненты СУБД Jatoba используют React 18, а серверный рендеринг (Server Side Rendering) не используется, Next.js отсутствует.