В компании "Газинформсервис" проанализировали критические RCE-уязвимости в экосистеме React/Next.js

Специалисты компании "Газинформсервис" проанализировали критические уязвимости CVE-2025-55182 и CVE-2025-66478 в экосистеме React и Next.js.

Согласно данным исследователей, атаки эксплуатируют уязвимости в механизмах Server Side Rendering (SSR) и React Server Components в версиях React 19 и Next.js 13.4+, позволяя злоумышленнику выполнять произвольный код на сервере (RCE).

Директор по продуктам компании "Газинформсервис" Сергей Никитин отметил, что компания проводит постоянный мониторинг безопасности сторонних библиотек и готова к оперативному обновлению решений в случае возникновения угроз. Например:

— Efros Defence Operations базируется на React 18.x, создаётся как статическое одностраничное приложение (SPA), выполняющееся целиком на стороне клиента. Сервисы на сервере не взаимодействуют с React и не используют Node.js или другие JavaScript-рантаймы. Таким образом, отсутствуют условия для эксплуатации уязвимостей.

— SafeERP использует React 18, в котором указанные уязвимости отсутствуют. Фреймворк Next.js не применяется.

— Компоненты СУБД Jatoba используют React 18, а серверный рендеринг (Server Side Rendering) не используется, Next.js отсутствует.