Szinte mindenhol ott van a veszély
A React szerveroldali komponenseit rengeteg weboldal és felhőszolgáltatás használja. A rendszer lényege, hogy a felhasználónak gyorsabban jelenjen meg a tartalom, hiszen csak azokat a részeket rendereli újra, amelyek változtak, így erőforrást és időt spórol. Ezeket a komponenseket beágyazzák több ismert keretrendszerbe is: még akkor is sérülékeny lehet egy alkalmazás, ha fejlesztője tudatosan nem is használ Reactet – elég, ha a keretrendszer a háttérben mégis Reactet használ.
A legfrissebb felmérések szerint az összes weboldal jelentős része, valamint a felhőalapú környezetek 39 százaléka épül React-alapokra – vagy közvetve támaszkodik rájuk. Ráadásul a legismertebb frameworkök, mint például a Next.js, illetve népszerű pluginek (RedwoodSDK, Vite RSC plugin, Waku, Parcel RSC plugin, React Router RSC preview) szintén érintettek.
Könnyű kihasználni, maximális a veszély
Míg más súlyos hibáknál szinte mindig legalább részleges jogosultság vagy speciális konfiguráció kell, most egy rosszul formázott HTML is elég lehet a támadáshoz. Ehhez ráadásul semmiféle hitelesítés nem szükséges. Az exploitkód már nyilvánosan elérhető: egyes tesztekben a támadás szinte 100 százalékos hatékonysággal sikerült. A sebezhetőség a Flight protokollban található, ami a React Server Components része. A Next.js a sérülékenységet saját néven (CVE-2025-66478) is nyilvántartja, míg hivatalosan a CVE-2025-55182 azonosító alatt fut.
A hiba technikai hátterében az úgynevezett „nem biztonságos deszerializáció” áll: ez azt jelenti, hogy a szerver, amikor egy beérkező adatfolyamot (pl. karakterláncot, bájtsorozatot) objektummá alakít, nem ellenőrzi elég szigorúan, mit enged be. A támadó így a saját kódját tudja a szerveroldalon lefuttatni, akár rendszergazdai jogosultsággal is.
Azonnal frissíteni kell mindenhol
Szakértők egyértelműen azt tanácsolják: mindenki, akinek köze van Reacthez kapcsolódó alkalmazáshoz, haladéktalanul töltse le és telepítse a szerdán kiadott javítást. Ráadásul nem csupán a fő React csomag érintett – a hozzá kapcsolódó pluginek, komponensek, frameworkök is sérülékenyek lehetnek, és egyedi ellenőrzést igényelnek.
Az érintett React-verziók: 19.0.1, 19.1.2 és 19.2.1. A frissített kiadások szigorúbb validációval és szigorúbb adatkezeléssel javítják a hibát. Szinte minden ismert keretrendszerben (Next.js, Vite, Waku, RedwoodSDK, Parcel, React Router) érdemes rögtön ellenőrizni a függőségeket és a legújabb verziókra frissíteni.
Mit csináljon egy admin vagy fejlesztő?
Legfontosabb a React és a kapcsolódó komponensek azonnali frissítése. Ahol harmadik féltől származó plugin, SDK vagy framework használata is felmerül, ellenőrizni kell, hogy már javították-e a hibát. A fejlesztőknek érdemes a teljes kódbázist átvizsgálni, van-e valahol közvetetten érintett React-modul. Célszerű akár automatikus keresőeszközöket is bevetni ehhez.
Bár néhány éve még elképzelhetetlen lett volna egy ennyire könnyen kihasználható és pusztító súlyosságú hiba, most valós veszély: aki nem frissít, ellene bármikor támadást indíthatnak, akár adatvesztéssel, akár teljes szolgáltatáskieséssel kell számolni. Az MI-vezérelt támadások korában már nem lehet halogatni a reakciót.
