От 10 до 25 тыс. российских веб-ресурсов могут быть под ударом из-за новой критической уязвимости

В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Уязвимость также затронула приложения Next.js (CVE-2025-66478). Об этом CNews сообщили представители Bi.Zone.

Павел Загуменнов, руководитель решений анализа защищенности Bi.Zone: «По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тыс. российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например Bi.Zone CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее».

Уязвимы компоненты React версий 19.0; 19.1.0; 19.1.1; 19.2.0.

Уязвимы следующие пакеты React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack.

Дополнительно уязвимость затронула перечисленные фреймворки: next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk.

Сергей Лебедев, GreenData: BPM не работает, если компания не связывает бизнес-логику и ИТ-архитектуру

Цифровизация

В случае Next.js уязвимы версии: Next.js 15.x, Next.js 16.x, Next.js 14.3.0-canary.77 и более новые canary-релизы

Эксплуатация уязвимости уже блокируется Bi.Zone WAF.

