Uma vulnerabilidade crítica foi identificada no protocolo “Flight” do React Server Components (RSC), afetando o ecossistema React 19 e frameworks que o implementaram, principalmente o Next.js. Atribuída aos códigos CVE-2025-55182 (React, com CVSS 10.0) e CVE-2025-66478 (Next.js, também com CVSS 10.0), essa falha permite que a execução remota de código (RCE) não seja autenticada no servidor devido à desserialização insegura.
Dados do Wiz indicar que 39% dos ambientes em nuvem contêm instâncias do Next.js ou React em versões detectadas como CVE-2025-55182 e/ou CVE-2025-66478. No que diz respeito ao Next.js, o próprio framework está presente em 69% dos ambientes. Notavelmente, 61% desses ambientes possuem aplicações públicas executando Next.js, o que significa que 44% de todos os ambientes em nuvem têm instâncias do Next.js expostas publicamente.
Existe uma vulnerabilidade na configuração padrão das aplicações afetadas, o que significa que as implantações padrão estão imediatamente em risco. Devido à alta gravidade e à facilidade de exploração, a aplicação imediata de patches é necessária.
Quem utiliza o Next.js, em todas as versões entre a 15 e a 16, está em risco e tem a recomendação de atualização imediata para as versões mais recentes do Next.js que contêm as observações comentadas (15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7).
Quem utiliza outro framework que usa componentes de servidor, também tem uma recomendação de atualização imediata para as versões mais recentes do React que contém as correções feitas (19.0.1, 19.1.2 e 19.2.1).
A vulnerabilidade CVE-2025-55182 é uma vulnerabilidade crítica de execução remota de código não autenticado (RCE) no react-serverpacote usado pelos componentes do servidor React (RSC).
A vulnerabilidade CVE-2025-66478 corresponde ao RCE no Next.js, que herda a mesma falha subjacente por meio de sua implementação do protocolo RSC “Flight”.
A vulnerabilidade reside fundamentalmente no pacote react-server e em seu tratamento do protocolo RSC “Flight”. Ela é caracterizada como uma vulnerabilidade de desserialização lógica, na qual o servidor processa payloads RSC de maneira insegura. Quando um servidor recebe um payload malformado e especialmente criado, ele não consegue validar a estrutura corretamente. Isso permite que dados controlados pelo experiente influenciem a lógica de execução do servidor, resultando na execução de código JavaScript privilegiado.
Em testículos da Wiz, a exploração dessa vulnerabilidade apresentada de alta fidelidade, com uma taxa de sucesso próxima a 100%, e pode ser utilizada para a execução remota completa de código. O vetor de ataque é remoto e não autenticado, exigindo apenas uma requisição HTTP especialmente desenvolvida para o servidor alvo. Ele afeta a configuração padrão de frameworks populares.
