This post is also available in: Português
A CVE-2025-55182 é uma vulnerabilidade crítica classificada com CVSS 10.0, o nível máximo da escala de severidade. Trata-se de uma falha de execução remota de código (RCE) com pré-autenticação que afeta aplicações que utilizam React Server Components (RSC), presentes em versões amplamente adotadas do React 19.
O problema decorre de uma desserialização insegura nos pacotes
react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack
A gravidade decorre de três fatores principais: exploração simples, ausência de autenticação e risco de comprometimento total do ambiente.
Sobre o ecossistema React e o impacto no servidor
React continua sendo uma das bibliotecas JavaScript mais usadas no mundo, e a introdução dos Server Components adicionou novas capacidades relacionadas à renderização híbrida entre cliente e servidor. Esse modelo, embora poderoso, exige canais confiáveis entre o navegador e o backend.
Quando o servidor desserializa dados sem validação adequada, abre-se um caminho direto para que valores manipulados pelo atacante sejam interpretados como objetos ou estruturas internas da aplicação.
Esse é justamente o cenário explorado na CVE-2025-55182: o servidor aceita dados malformados, reconstrói objetos de forma insegura e permite a execução de código enviado pelo atacante. Em ambientes expostos à internet, isso concede ao invasor controle completo sobre o servidor, mesmo sem credenciais.
Como a vulnerabilidade funciona
A falha está no processo que interpreta o payload enviado pelo front-end para chamadas internas do React Server Components. Esse processo utiliza um mecanismo de desserialização que não valida adequadamente campos sensíveis antes de reconstruí-los no servidor. O atacante consegue explorar essa lógica usando requisições HTTP especialmente preparadas.
Um simples pacote enviado ao endpoint RSC é suficiente para ativar a falha. Não há necessidade de autenticação, e não existe requisito de interação do usuário. Isso transforma a vulnerabilidade em um vetor de ataque extremamente rápido, automatizável e atraente para grupos maliciosos.
Por que o CVSS é 10.0
A pontuação 10.0 reflete um cenário de risco extremo. A falha é explorável remotamente, não exige autenticação, resulta em execução de código arbitrário, tem impacto total de confidencialidade, integridade e disponibilidade, e existe exploração ativa confirmada por diversos fornecedores de nuvem e equipes de threat intelligence.
Em termos práticos, a pontuação máxima indica que a vulnerabilidade permite que atacantes assumam o controle total do servidor, executem comandos, implantem backdoors, exfiltrem dados e se movimentem lateralmente pela infraestrutura. É o tipo de falha que exige atualização imediata, sem margem para adiamentos.
| Pacote / Componente | Versões vulneráveis | Versões corrigidas |
|---|---|---|
| react-server-dom-parcel | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1 |
| react-server-dom-webpack | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1 |
| react-server-dom-turbopack | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1 |
| Frameworks/bundlers que integram RSC | Dependem dos pacotes acima; instalações padrão podem estar vulneráveis | Atualizações conforme cada vendor (Next.js, Turbopack, plugins RSC) |
O que fazer agora
A ação imediata é atualizar para as versões corrigidas dos pacotes. Antes disso, é essencial mapear dependências diretas e transitivas, especialmente em frameworks como Next.js. Caso a atualização não seja possível de imediato, recomenda-se isolar instâncias vulneráveis, aplicar regras temporárias de WAF e monitorar logs para identificar tentativas de exploração, uma medida emergencial, não definitiva.
Monitorar indicadores de comprometimento também é fundamental, já que explorações estão acontecendo em escala global.
This post is also available in: Português
