CVE-2025-55182

Nome do Software Vulnerável e Versões Afetadas React Server Components versões 19.0.0 a 19.2.0

Description Um problema de execução remota de código (RCE) pré-autenticação existe no React Server Components, afetando especificamente os pacotes react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack. O problema decorre da desserialização insegura de payloads em requisições HTTP enviadas para endpoints de Server Function, especificamente envolvendo falhas no mecanismo de desserialização ao processar o parâmetro hasOwnProperty na função requireModule(). Isso permite que um invasor remoto não autenticado execute código arbitrário no servidor enviando uma requisição HTTP especialmente formulada.

A exploração no mundo real tem sido extensa, incluindo:

Recommendations Atualize o React Server Components para uma versão que corrija este problema. Rotacione e revogue todos os segredos potencialmente expostos, incluindo chaves de API, senhas de banco de dados, chaves SSH e tokens de nuvem. Restrinja o acesso à função requireModule() ou aos endpoints de Server Function afetados como mitigação temporária. Implemente filtragem de egresso para bloquear tráfego HTTP de saída incomum, particularmente para a porta 8080.