У React Server виявлена вразливість безпеки

Нещодавно у Реакті виявлена критична вразливість віддаленого виконання коду (RCE) без аутентифікації в React Server Components - CVE-2025-55182 (React2Shell).

Ця вразливість загрожує багатьом сайтам та додаткам, що використовують бібліотеку та компоненти React, навіть і фреймворки, що використовують React (next.js, vue.js і т.д).

Вразливість присутня у версіях 19.0, 19.1.0, 19.1.1 та 19.2.0 (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack).

Як виправити існуючу вразливість React

Виправлення було введено у версіях 19.0.1, 19.1.2 та 19.2.1. Якщо ви використовуєте будь-який із перелічених вище пакетів, будь ласка, негайно оновіть його до будь-якої з виправлених версій.

Якщо ваш сайт працює на React, або використовує його компоненти, важливо терміново зробити наступне:

• Оновіть React та ваш фреймворк до останньої версії. У нових релізах React виправлені всі відомі вразливості CVE-2025-55182 включно. Переконайтеся, що ви використовуєте актуальні версії пакетів.
• Після оновлення рекомендується провести комплексний аудит вашого коду і залежностей.
• Застосуйте патчі для сторонніх бібліотек. Якщо ваш додаток використовує додаткові пакети та компоненти, що працюють з React, переконайтеся, що вони також оновлені до останніх версій, які виправляють вразливості.
• Посильте моніторинг безпеки на ваших проєктах і серверах для виявлення можливих спроб експлуатації вразливості.

Окрема небезпека стосується проєктів, розгорнутих на віртуальних або виділених серверах. Дана вразливість станом на зараз активно використовується ботнетами для сканування і виконання коду на серверах атакованих проєктів, схильних до даної вразливості.
Якщо сервер був уражений ботнетом, то установка патча вам може не допомогти через те, що на сервері можуть бути й інші бекдори, підсаджені ботнетом в момент злому сервера. У цьому випадку рекомендуємо зберегти всі проєкти, а також будь-які важливі дані з сервера, провести аудит коду додатків, перевстановити ОС на сервері (або замовити інший сервер для м'якої міграції) і розгорнути проєкти знову з актуальними версіями пакетів.

Якщо у вас немає можливості або досвіду зробити це самостійно, зверніться до досвідчених спеціалістів, які є в агенції Web Building.