Falhas graves no React e Next.js permitem execução remota de código sem autenticação
3 de Dezembro de 2025

Foi divulgada uma vulnerabilidade crítica no React Server Components (RSC) que, se explorada com sucesso, pode permitir a execução remota de código.

Identificada como CVE-2025-55182 , a falha recebeu a nota máxima na escala CVSS, 10.0, indicando alto risco.

Segundo o time do React, o problema permite execução remota de código sem autenticação, ao explorar uma falha na forma como o React decodifica payloads enviados para endpoints das React Server Functions.

Mesmo aplicações que não utilizam diretamente esses endpoints podem estar vulneráveis se fizerem uso dos React Server Components.

A empresa de segurança em nuvem Wiz explicou que a vulnerabilidade decorre de um problema lógico de desserialização, causado pelo tratamento inseguro dos payloads RSC.

Um atacante não autenticado pode enviar uma requisição HTTP maliciosa a qualquer endpoint Server Function, que, ao ser desserializada pelo React, executará código JavaScript arbitrário no servidor.

As versões afetadas dos pacotes npm são 19.0.0, 19.1.0, 19.1.1 e 19.2.0 dos seguintes pacotes:

- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack

O problema foi corrigido nas versões 19.0.1, 19.1.2 e 19.2.1, respectivamente.

O pesquisador neozelandês Lachlan Davidson foi creditado pela descoberta e reporte da falha em 29 de novembro de 2025.

Além disso, a vulnerabilidade também afeta o Next.js ao utilizar o App Router.

Esse problema recebeu o identificador CVE-2025-66478 , também com nota 10.0 no CVSS, impactando versões iguais ou superiores a 14.3.0-canary.77, 15 e 16.

As correções já estão disponíveis nas versões 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 e 15.0.5.

É importante destacar que qualquer biblioteca que incorpore React Server Components pode estar vulnerável, incluindo plugins como Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS e Waku.

Segundo a Wiz, 39% dos ambientes em nuvem analisados apresentam instâncias suscetíveis às falhas CVE-2025-55182 e/ou CVE-2025-66478 .

Dada a gravidade das vulnerabilidades, recomenda-se a aplicação imediata dos patches para garantir a proteção dos sistemas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...