React2Shell
A Unit 42 elemzése szerint kritikus szerveroldali sebezhetőség rázta meg 2025 végén a modern webfejlesztés két alapkövét, a Reactot és a Next.js-t. A Palo Alto Networks Unit 42 kutatói által feltárt hiba a gyakorlatban a React2Shell nevet kapta, mivel a támadó egyetlen, célzott HTTP-kéréssel közvetlenül a szerver parancssoráig juthat el. A sérülékenységet a CVE-2025-55182 és a CVE-2025-66478 azonosítók alatt tartják nyilván.
A probléma a React Server Components (RSC) Flight protokolljának deszerializációs logikájában található. A rendszer nem megfelelően ellenőrzi a kliens felől érkező, strukturált adatcsomagokat, így egy rosszindulatúan összeállított kérés elegendő ahhoz, hogy a támadó hitelesítés nélkül, távolról futtasson kódot a szerveren. A kutatók szerint ez az egyik legsúlyosabb lehetséges forgatókönyv: nincs szükség felhasználói interakcióra, nincs szükség bejelentkezésre, a támadás teljesen automatikusan működik.
A React2Shell különösen veszélyes azért, mert nem egy ritkán használt funkciót érint, hanem a modern React-alkalmazások egyik legfontosabb újítását, a szerveroldali komponenseket. Ez azt jelenti, hogy nemcsak egyedi fejlesztések lehetnek érintettek, hanem alapértelmezett beállításokkal létrehozott Next.js-alkalmazások is. A Unit 42 elemzése szerint a sikeres kihasználás esélye rendkívül magas, a támadás technikai nehézsége viszont alacsony.
A sebezhetőségben érintett lehet több kapcsolódó ökoszisztéma-elem is, köztük a React Router RSC-módja, a Waku, a Parcel és Vite RSC-pluginek, valamint több szerveroldali React-alapú keretrendszer is. Ez tovább növeli a potenciális támadási felületet, különösen nagy forgalmú webes szolgáltatások esetében.
A fejlesztők számára a teendő egyértelmű, azonnali frissítés szükséges. React esetén a javított verziók közé tartozik a 19.0.1, 19.1.2 és a 19.2.1, míg Next.js-nél a legfrissebb stabil, security-patchelt kiadás telepítése elengedhetetlen. Ahol ez átmenetileg nem megoldható, ott javasolt a szerveroldali RSC-funkciók ideiglenes letiltása, valamint az összes kapcsolódó endpoint biztonsági auditja.
