Критична вразливість у React та Next.js: що потрібно знати бізнесу і розробникам

У популярних фреймворках React та Next.js виявлено критичну вразливість із максимальним рівнем небезпеки — CVSS 10.0. Вона вже активно використовується хакерськими угрупованнями, зокрема китайськими APT.

Йдеться про вразливість CVE-2025-55182, яка дозволяє зловмисникам віддалено запускати код на сервері без входу в систему. Простими словами — атакуючий може отримати контроль над застосунком через спеціально сформований запит.

Чому це серйозно

Підписуйтеся на наші соцмережі

Навіть якщо команда не використовує серверні функції навмисно, ризик все одно існує. У багатьох проєктах React Server Components увімкнені за замовчуванням, і цього достатньо для атаки. Зловмисники надсилають HTTP-запити з особливими заголовками, які обходять стандартні перевірки.

Хто вже під атакою

За інформацією AWS Security, експлуатація почалася майже одразу після публічного розкриття вразливості. Фіксуються масові спроби зламів у фінансових компаніях, логістиці, ІТ-секторі та державних організаціях.

Які версії під загрозою

Проблема стосується: – React версії 19 – Next.js версій 15 та 16, які використовують App Router

Що рекомендують фахівці SHERIFF

Найперше — оновити фреймворки до версій із виправленнями. Також варто обмежити підозрілі запити на рівні WAF, перевірити серверні логи та переконатися, що застосунок не приймає небезпечні запити ззовні.

Cучасні технології не означають автоматичну безпеку. Ключову роль відіграє швидкість реакції — перші дні після появи вразливості часто вирішують масштаб наслідків.