09 Декабря 2025 17:58 09 Дек 2025 17:58 |

Поделиться

В компании «Газинформсервис» проанализировали критические RCE-уязвимости в экосистеме React/Next.js

Специалисты компании «Газинформсервис» проанализировали критические уязвимости CVE-2025-55182 и CVE-2025-66478 в экосистеме React и Next.js.Об этом CNews сообщили представители «Газинформсервис».

Согласно данным исследователей, атаки эксплуатируют уязвимости в механизмах Server Side Rendering (SSR) и React Server Components в версиях React 19 и Next.js 13.4+, позволяя злоумышленнику выполнять произвольный код на сервере (RCE).

Директор по продуктам компании «Газинформсервис» Сергей Никитин отметил, что компания проводит постоянный мониторинг безопасности сторонних библиотек и готова к оперативному обновлению решений в случае возникновения угроз.

Efros Defence Operations базируется на React 18.x, создается как статическое одностраничное приложение (SPA), выполняющееся целиком на стороне клиента. Сервисы на сервере не взаимодействуют с React и не используют Node.js или другие JavaScript-рантаймы. Таким образом, отсутствуют условия для эксплуатации уязвимостей.

SafeERP использует React 18, в котором указанные уязвимости отсутствуют. Фреймворк Next.js не применяется.

Компоненты СУБД Jatoba используют React 18, а серверный рендеринг (Server Side Rendering) не используется, Next.js отсутствует.

Поделиться

Подписаться на новости Короткая ссылка