Kriitiline React ja Next.js turvaauk nõuab kohest parandamist

Kui eelmises blogipostituses kirjutasin sellest, milline košmaarne risk on salasõna lekkimine, siis tänane teema käistleb nõrkuseid, mille ärakasutamiseks salasõna pole üldse vajagi. Nimelt vallandus eelmisel nädalal küberturbekogukonnas torm, kui suhteliselt ootamatult avaldati populaarses Javascripti teegis React ja sellele toetuvas Next.js raamistikus kriitiline turvanõrkus.

Haavatavused asuvad konkreetsetes aluspakettides, mis tegelevad sisu serveripoolse renderdamise ja moodulite laadimisega.

CVE-2025-55182

React Server Components versioonides 19.0.0, 19.1.0, 19.1.1 ja 19.2.0, sealhulgas järgmistes pakkides: react-server-dom-parcel, react-server-dom-turbopack ja react-server-dom-webpack, on kaugkoodi täitmise haavatavus. Haavatav kood deserialiseerib ebaturvaliselt HTTP-päringute sisu serverifunktsioonide otspunktidesse.

Link: https://nvd.nist.gov/vuln/detail/CVE-2025-55182

Nõrkuste tõsiduse skaalal Common Vulnerability Scoring System (CVSS) sai see kõrgeima võimaliku hinde 10.0.

Sellise hinde saamine tähendab, et seda nõrkust on võimalik ära kasutada kõikjalt, kust on ligipääs ülalnimetatud teegil ja raamistikul põhinevatele rakendusele ning see ei nõua ründajalt kasutajanime või salasõna teadmist. Samuti pole vaja ründajal oodata ühtki tegevust rakenduse kasutajalt.

Mis veel hullem: väidetavalt on need nõrkused olemas vaikimisi konfiguratsioonides. Standardne Next.js-rakendus, mis on loodud create-next-app abil on ärakasutatav ilma arendaja poolt koodi muutmata.

Hetkeolukord

Selle nõrkuse kohta on olemas nö kontseptsiooni tõendav kood ja aktiivselt kasutuses olevad eksploidid. Me näeme Zones palju rünnakute katseid, aga ka juba mõningaid edukaid rünnakuid klientide rakenduste vastu. Meie võimalused selliseid rakendusi tuvastada ja kasutajaid nende nõrkusestest teavitada, on antud juhul piiratud.

Aitame klientidele edastada Riigi Infosüsteemi Ameti intsidentide käsitlemise osakonna CERT-EE poolt koostatud hoiatusi. Lisaks on meie jagatud veebimajutuse platvormi üleses tulemüüris ajutiselt blokeeritud mõned rünnakule viitavad signatuurid. Nendele ei tohiks pikas perspektiivis toetuda ja need ei garanteeri sajaprotsendilist kindlust.

Kutsume üles kõiki arendajaid, kes on klientidele või omaenda serverisse paigaldanud React ja/või Next.js põhinevaid rakendusi, viivitamata kontrollima üle nende versioonid ja vajadusel neid koheselt uuendama!