Flag{Hack}

Publikováno 5. prosince 20254 min čtení

React2Shell: Porozumění zranitelnosti React Server Components

React2Shell je komunitní název pro kritickou zranitelnost v React Server Components. Tento přehled vysvětluje, čeho se týká a kde najít oficiální pokyny Reactu k aktualizaci.

Co je React2Shell

React2Shell je komunitní název pro CVE-2025-55182, kritickou neautentizovanou zranitelnost umožňující vzdálené spuštění kódu v React Server Components.

Podle oficiálního bezpečnostního upozornění Reactu problém souvisí s tím, jak React dekóduje payloady odesílané na endpointy Server Function. Serverová aplikace může být ohrožena, i když si nedefinuje vlastní Server Functions, pokud podporuje React Server Components.

Koho se to týká

Původní bezpečnostní upozornění Reactu uvádí, že původní zranitelnost se týkala verzí 19.0.0, 19.1.0, 19.1.1 a 19.2.0 balíčků react-server-dom-webpack, react-server-dom-parcel a react-server-dom-turbopack.

Zasaženy mohou být také frameworky a bundlery postavené nad těmito balíčky. React konkrétně zmínil Next.js, nestabilní RSC API React Routeru, Waku, Parcel RSC, RSC plugin pro Vite a Redwood SDK.

  • Aplikace bez serveru nejsou dotčeny.
  • Aplikace, které nepoužívají React Server Components, nejsou dotčeny.
  • Týmy by měly zkontrolovat závislosti spravované frameworkem, nejen nejvyšší verze balíčků react a react-dom.

Jak aktualizovat na opravenou verzi

React nejprve zveřejnil opravy 3. prosince 2025, poté vydal následné opravy 11. prosince 2025 a 26. ledna 2026 poté, co výzkumníci objevili další související problémy.

K aktualizaci Reactu z 26. ledna 2026 jsou bezpečné zpětně portované verze dotčených RSC balíčků 19.0.4, 19.1.5 a 19.2.4. Pokud tyto balíčky spravuje váš framework za vás, použijte pokyny k aktualizaci specifické pro daný framework od týmu React místo ručního odhadování kombinace balíčků.

 Oficiální pokyny Reactu k aktualizaci Následné bezpečnostní upozornění Reactu s nejnovějšími bezpečnými verzemi

Proč na tom záleží

React2Shell připomíná, že React Server Components jsou součástí útočné plochy vašeho serveru, nejen funkcí uživatelského rozhraní. Když vyjde bezpečnostní upozornění, serverové React aplikace potřebují stejně rychlou disciplínu při nasazování oprav jako jakákoli jiná backendová závislost.

Nejbezpečnější postup je použít oficiální bezpečnostní upozornění Reactu jako hlavní zdroj pravdy a potom před nasazením ověřit opravenou vydávací řadu vašeho frameworku.