Vulnerabilitate Critică în React – CVE-2025-55182

Share

Un semnal de alarmă a fost tras în comunitatea dezvoltatorilor React, deoarece a fost descoperită o vulnerabilitate critică de execuție de cod la distanță (RCE) fără autentificare. Această breșă de securitate, identificată ca CVE-2025-55182 și cu un scor CVSS maxim de 10.0, permite atacatorilor neautentificați să execute cod arbitrar pe server prin exploatarea modului în care React gestionează funcțiile serverului.

Problema, raportată de Lachlan Davidson, provine din decodarea de către React a datelor transmise către endpoint-urile funcțiilor React Server. Chiar și aplicațiile care nu implementează explicit astfel de endpoint-uri pot fi vulnerabile dacă acceptă componente React Server. Versiunile afectate includ 19.0, 19.1.0, 19.1.1 și 19.2.0.

Soluția este urgentă și simplă: actualizați imediat la versiunile remediate 19.0.1, 19.1.2 sau 19.2.1. Dezvoltatorii sunt sfătuiți să verifice și cadrele și instrumentele de compilare, cum ar fi Next, React Router și Waku, deoarece și acestea pot fi afectate prin dependențele lor. Ignorarea acestei avertizări poate expune aplicațiile la riscuri semnificative de securitate. Securitatea datelor utilizatorilor și integritatea sistemelor depind de o acțiune rapidă și decisivă.