Novas vulnerabilidades no React RSC permitem DoS e exposição de código-fonte
12 de Dezembro de 2025

A equipe do React divulgou correções para duas novas vulnerabilidades em React Server Components (RSC) que, se exploradas com sucesso, podem causar negação de serviço (DoS) ou expor o código-fonte das aplicações.

Essas falhas foram identificadas pela comunidade de segurança durante tentativas de contornar os patches lançados para a CVE-2025-55182 (nota CVSS 10.0), uma vulnerabilidade crítica em RSC que já vem sendo explorada ativamente em ambientes reais.

As três vulnerabilidades encontradas são:

- ** CVE-2025-55184 (CVSS 7.5)** – Falha de negação de serviço pré-autenticação causada por desserialização insegura de payloads enviados via HTTP para endpoints de Server Functions, o que dispara um loop infinito, travando o processo do servidor e impedindo o atendimento de futuras requisições.

- ** CVE-2025-67779 (CVSS 7.5)** – Correção incompleta da CVE-2025-55184 , com impacto semelhante.

- ** CVE-2025-55183 (CVSS 5.3)** – Vulnerabilidade de vazamento de informações que permite, mediante requisição HTTP especialmente manipulada a Server Functions vulneráveis, a exposição do código-fonte dessas funções.

É importante destacar que a exploração da CVE-2025-55183 depende da existência de uma Server Function que expõe, de forma explícita ou implícita, um argumento convertido para formato string.

As versões afetadas dos pacotes react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack são as seguintes:

- Para CVE-2025-55184 e CVE-2025-55183 : 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 e 19.2.1

- Para CVE-2025-67779 : 19.0.2, 19.1.3 e 19.2.2

Os pesquisadores RyotaK e Shinsaku Nomura foram responsáveis por reportar as duas falhas de DoS ao programa Meta Bug Bounty, enquanto Andrew MacPherson notificou a vulnerabilidade de vazamento de informações.

A recomendação a todos os usuários é atualizar imediatamente para as versões 19.0.3, 19.1.4 ou 19.2.3, especialmente diante da exploração ativa da CVE-2025-55182 em ambientes produtivos.

Segundo a equipe do React: “Quando uma vulnerabilidade crítica é divulgada, pesquisadores examinam trechos adjacentes do código para buscar técnicas alternativas de exploração, testando se as correções iniciais podem ser contornadas.

Esse padrão é comum em toda a indústria, não apenas em JavaScript.

Novas divulgações podem ser frustrantes, mas indicam um ciclo de resposta saudável.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...