Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet (NBSZ NKI) riasztást ad ki a React és Next.js szoftvereket érintő, két, kritikus súlyosságú, távoli kódfuttatást lehetővé tevő sérülékenység kapcsán:
- A CVE-2025-55182: hitelesítést nem igénylő távoli kódfuttatást lehetővé tevő (RCE) sérülékenység a React Server Components (RSC) által használt react-server csomagban.
- A CVE-2025-66478: Next.js-ben található, a CVE-2025-55182 hibához kapcsolódó RCE-sérülékenység, amely az RSC „Flight” protokoll implementációjából adódóan ugyanazt az alapvető hibát tartalmazza.
A nem hitelesített támadók az RSC-alapú szerverek elégtelen érvényesítési logikájának kihasználásával olyan HTTP-kérést küldhetnek, amely távoli kódfuttatáshoz vezethet.
Az eddig rendelkezésre álló előzetes felmérések alapján a hiba kihasználása rendkívül magas sikerességi rátával bír. Emellett a React-alapú webalkalmazások könnyű felderíthetősége miatt egy, a sérülékenységet célzó kibertámadási hullám kialakulása rendkívül valószínű.
Az NBSZ NKI javasolja ügyfelei számára, hogy az érintett webalkalmazásaik alábbi verziókra történő frissítését haladéktalanul kezdjék meg:
- React: 19.0.1, 19.1.2, 19.2.1
- Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
Hivatkozások:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components