ГлавнаяБаза уязвимостей БДУ → BDU:2025-15156
10критическая

BDU:2025-15156 (CVE-2025-66478)

Уязвимость функции requireModule() пакетов react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack JavaScript библиотеки построения пользовательских интерфейсов React, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-12-04
Описание

Уязвимость функции requireModule() пакетов react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack JavaScript библиотеки построения пользовательских интерфейсов React связана с недостатками механизма десериализации при обработке параметра hasOwnProperty. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
react-server-dom-webpack (до 19.0.1)react-server-dom-webpack (до 19.1.2)react-server-dom-webpack (до 19.2.1)react-server-dom-parcel (до 19.0.1)react-server-dom-parcel (до 19.1.2)react-server-dom-parcel (до 19.2.1)react-server-dom-turbopack (до 19.0.1)react-server-dom-turbopack (до 19.1.2)react-server-dom-turbopack (до 19.2.1)Next.js (до 15.0.5)Next.js (до 15.1.9)Next.js (до 15.2.6)Next.js (до 15.3.6)Next.js (до 15.4.8)Next.js (до 15.5.7)Next.js (до 16.0.7)React RouterWakuNext.js (до 14.3.0-canary.77 включительно)ReactExpoRedwood SDK (до 1.0.0-alpha.0)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование нестандартных сетевых портов для доступа к серверу React (по умолчанию 3002);
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- ограничение возможности непривилегированных пользователей загружать файлы на сервер React;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания событий, связанных с вызовом функции runInThisContext();
- использование систем обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации для попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
Для React:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Для Next.js:
https://nextjs.org/blog/CVE-2025-66478

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://react.dev/versions#react-19https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentshttps://nextjs.org/blog/CVE-2025-66478https://github.com/Ashwesker/Blackash-CVE-2025-55182https://github.com/fatguru/CVE-2025-55182-scannerhttps://github.com/sickwell/CVE-2025-55182https://github.com/ejpir/CVE-2025-55182-pochttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена