Novas vulnerabilidades no React RSC permitem DoS e exposição de código-fonte
12 de Dezembro de 2025

A equipe do React divulgou correções para duas novas vulnerabilidades em React Server Components (RSC) que, se exploradas com sucesso, podem causar negação de serviço (DoS) ou expor o código-fonte das aplicações.

Essas falhas foram identificadas pela comunidade de segurança durante tentativas de contornar os patches lançados para a CVE-2025-55182 (nota CVSS 10.0), uma vulnerabilidade crítica em RSC que já vem sendo explorada ativamente em ambientes reais.

As três vulnerabilidades encontradas são:

- ** CVE-2025-55184 (CVSS 7.5)** – Falha de negação de serviço pré-autenticação causada por desserialização insegura de payloads enviados via HTTP para endpoints de Server Functions, o que dispara um loop infinito, travando o processo do servidor e impedindo o atendimento de futuras requisições.

- ** CVE-2025-67779 (CVSS 7.5)** – Correção incompleta da CVE-2025-55184 , com impacto semelhante.

- ** CVE-2025-55183 (CVSS 5.3)** – Vulnerabilidade de vazamento de informações que permite, mediante requisição HTTP especialmente manipulada a Server Functions vulneráveis, a exposição do código-fonte dessas funções.

É importante destacar que a exploração da CVE-2025-55183 depende da existência de uma Server Function que expõe, de forma explícita ou implícita, um argumento convertido para formato string.

As versões afetadas dos pacotes react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack são as seguintes:

- Para CVE-2025-55184 e CVE-2025-55183 : 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 e 19.2.1

- Para CVE-2025-67779 : 19.0.2, 19.1.3 e 19.2.2

Os pesquisadores RyotaK e Shinsaku Nomura foram responsáveis por reportar as duas falhas de DoS ao programa Meta Bug Bounty, enquanto Andrew MacPherson notificou a vulnerabilidade de vazamento de informações.

A recomendação a todos os usuários é atualizar imediatamente para as versões 19.0.3, 19.1.4 ou 19.2.3, especialmente diante da exploração ativa da CVE-2025-55182 em ambientes produtivos.

Segundo a equipe do React: “Quando uma vulnerabilidade crítica é divulgada, pesquisadores examinam trechos adjacentes do código para buscar técnicas alternativas de exploração, testando se as correções iniciais podem ser contornadas.

Esse padrão é comum em toda a indústria, não apenas em JavaScript.

Novas divulgações podem ser frustrantes, mas indicam um ciclo de resposta saudável.”

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...