CVE-2025-66478

Nome do Software Vulnerável e Versões Afetadas react-server-dom-webpack (versões afetadas não especificadas) react-server-dom-parcel (versões afetadas não especificadas) react-server-dom-turbopack (versões afetadas não especificadas) Next.js versões anteriores a 16.0.7

Description Uma falha de desserialização existe na função requireModule() dos pacotes react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack ao processar o parâmetro hasOwnProperty. Este problema permite que um invasor remoto execute código arbitrário enviando uma requisição HTTP especialmente formulada.

Telemetrias indicam uma escala massiva de exposição, com mais de 968.000 instâncias de React e Next.js identificadas, e mais de 77.000 endereços IP expostos à internet confirmados como vulneráveis. A exploração no mundo real tem sido generalizada, afetando mais de 50 organizações em setores como finanças, governo e alta tecnologia. Invasores utilizaram esta falha para implantar mineradores de criptomoedas (ex: XMRig), botnets (ex: Mirai, RondoDox) e várias linhagens de malware, incluindo o backdoor Linux PeerBlight, o proxy reverso CowTunnel e o implante de pós-exploração ZinFoq. Algumas campanhas visaram arquivos de configuração e credenciais da AWS.

Recommendations Atualize o Next.js para a versão 16.0.7 ou superior. Para aplicações que utilizam componentes React Server, aplique imediatamente as atualizações disponíveis, reconstrua e implante novamente as aplicações. Como medida de mitigação, garanta que os containers Docker não estejam sendo executados como root; crie um usuário de sistema (ex: adduser --system nextjs) e altere para esse usuário (USER nextjs) no Dockerfile para evitar que invasores instalem scripts de persistência ou malwares em nível de sistema.