Một lỗ hổng bảo mật mức độ nghiêm trọng tối đa đã được tiết lộ trong React Server Components (RSC) mà nếu khai thác thành công, có thể dẫn đến việc thực thi mã từ xa.
Lỗ hổng, được theo dõi với mã CVE-2025-55182, có điểm CVSS là 10.0.
Nhóm React cho biết trong một cảnh báo phát hành hôm nay rằng nó cho phép "thực thi mã từ xa không cần xác thực bằng cách khai thác một lỗ hổng trong cách React giải mã các payload được gửi đến các endpoint của React Server Function."
"Ngay cả khi ứng dụng của bạn không triển khai bất kỳ endpoint React Server Function nào, nó vẫn có thể dễ bị tổn thương nếu ứng dụng của bạn hỗ trợ React Server Components."
Theo công ty bảo mật đám mây Wiz, vấn đề này là một trường hợp của logical deserialization xuất phát từ việc xử lý các payload RSC một cách không an toàn. Kết quả là, một kẻ tấn công không cần xác thực có thể tạo ra một yêu cầu HTTP độc hại đến bất kỳ Server Function endpoint nào mà khi được React deserialize, sẽ thực thi mã JavaScript tùy ý trên máy chủ.
Các gói npm bị ảnh hưởng và phiên bản vá lỗi
Lỗ hổng này ảnh hưởng đến các phiên bản 19.0, 19.1.0, 19.1.1 và 19.2.0 của các gói npm sau:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Nó đã được khắc phục trong các phiên bản 19.0.1, 19.1.2 và 19.2.1. Nhà nghiên cứu bảo mật Lachlan Davidson từ New Zealand đã được ghi nhận vì đã phát hiện và báo cáo lỗ hổng này vào ngày 29 tháng 11 năm 2025.
Tác động đến Next.js và các thư viện khác
Cần lưu ý rằng lỗ hổng này cũng ảnh hưởng đến Next.js sử dụng App Router. Vấn đề này đã được gán định danh CVE là CVE-2025-66478 (điểm CVSS: 10.0). Nó ảnh hưởng đến các phiên bản >=14.3.0-canary.77, >=15 và >=16. Các phiên bản đã được vá là 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 và 15.0.5.
Ngoài ra, bất kỳ thư viện nào đóng gói RSC cũng có khả năng bị ảnh hưởng bởi lỗ hổng này. Điều này bao gồm, nhưng không giới hạn ở, Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodJS và Waku.
Wiz cho biết 39% môi trường đám mây có các instance dễ bị tấn công bởi CVE-2025-55182 và/hoặc CVE-2025-66478. Với mức độ nghiêm trọng của lỗ hổng, người dùng nên áp dụng các bản vá càng sớm càng tốt để có sự bảo vệ tối ưu.
