React Server 19.2.0 i CVE-2025-55182: analiza podatności umożliwiającej zdalne wykonanie kodu

Wprowadzenie do problemu / definicja

CVE-2025-55182 to podatność opisana jako możliwość zdalnego wykonania kodu w środowisku React Server, obejmująca wersje od 19.0.0 do 19.2.0. Tego rodzaju błąd należy do najpoważniejszych klas luk bezpieczeństwa, ponieważ może umożliwić atakującemu uruchomienie poleceń po stronie serwera bez uprzedniego uzyskania uprawnień administracyjnych.

W praktyce oznacza to ryzyko przejęcia procesu aplikacyjnego, dostępu do danych przetwarzanych przez aplikację, a także wykorzystania serwera jako punktu wejścia do dalszych działań w infrastrukturze. Szczególnie narażone są aplikacje internetowe oparte na Node.js, które korzystają z React Server Components i mechanizmów akcji serwerowych.

W skrócie

Publicznie udostępniony proof-of-concept wskazuje, iż odpowiednio spreparowane żądanie HTTP POST może doprowadzić do wykonania polecenia systemowego po stronie serwera. Atak wykorzystuje manipulację strukturą danych, odwołania do adekwatności prototypowych oraz ścieżkę prowadzącą do konstruktora funkcji.

• Podatność dotyczy React Server w wersjach 19.0.0–19.2.0.
• Scenariusz ataku prowadzi do RCE w środowisku Node.js.
• Eksploit może być zautomatyzowany i używany do masowego skanowania celów.
• Wektor obejmuje żądania POST, nagłówki powiązane z akcjami serwerowymi oraz payload typu multipart/form-data.

Kontekst / historia

Nowoczesne frameworki łączące logikę kliencką i serwerową coraz częściej poszerzają powierzchnię ataku. W przypadku React Server Components granica pomiędzy warstwą renderowania a logiką backendową staje się bardziej złożona, co zwiększa znaczenie bezpiecznej serializacji, deserializacji i walidacji danych wejściowych.

Z opisu podatności wynika, iż problem obejmuje wersje 19.0.0, 19.1.0, 19.1.1 oraz 19.2.0. Publiczna publikacja materiału exploitowego nastąpiła 9 kwietnia 2026 roku, choć sam proof-of-concept zawiera wcześniejszą datę przygotowania. To sugeruje, iż demonstracja mogła istnieć przed jej upublicznieniem, a obecna dostępność kodu zwiększa ryzyko szybkiego wykorzystania przez podmioty prowadzące skanowanie Internetu.

Analiza techniczna

Opisany proof-of-concept opiera się na wysłaniu żądania POST do podatnej aplikacji. W komunikacji pojawiają się nagłówki charakterystyczne dla przepływów związanych z React Server Components i akcjami serwerowymi. najważniejsze znaczenie ma jednak ładunek multipart/form-data, który zawiera specjalnie zbudowaną strukturę JSON.

Analiza wskazuje na próbę połączenia kilku technik. Pierwsza polega na manipulacji łańcuchem prototypów poprzez odwołania takie jak __proto__, co może prowadzić do nieoczekiwanych zmian w zachowaniu obiektów po stronie serwera. Druga wykorzystuje przejście przez pola obiektu do konstruktora funkcji, co w środowisku JavaScript jest znanym sposobem osiągania wykonania arbitralnego kodu, jeżeli aplikacja przetwarza dane wejściowe bez odpowiednich zabezpieczeń.

Końcowy etap ładunku odwołuje się do mechanizmu uruchamiania poleceń systemowych. Co istotne, proof-of-concept nie musi zwracać bezpośredniego wyniku w odpowiedzi HTTP. Zamiast tego stosuje technikę out-of-band, polegającą na wygenerowaniu ruchu DNS do kontrolowanej domeny. To ułatwia potwierdzenie skutecznego wykonania kodu choćby wtedy, gdy aplikacja nie ujawnia rezultatu ataku użytkownikowi.

Udostępniony skrypt pełni również funkcję skanera. Potrafi testować wiele celów równolegle, analizować obecność charakterystycznych nagłówków i identyfikować aplikacje potencjalnie korzystające z podatnego stosu technologicznego. Z punktu widzenia obrońców oznacza to wzrost ryzyka zautomatyzowanych kampanii wymierzonych w publicznie dostępne usługi.

Konsekwencje / ryzyko

Jeżeli podatny endpoint jest osiągalny z sieci i nie został objęty dodatkowymi zabezpieczeniami, skutki mogą być bardzo poważne. Najbardziej bezpośrednim zagrożeniem jest wykonanie poleceń w kontekście procesu Node.js, a więc z uprawnieniami przypisanymi do aplikacji.

• Odczyt zmiennych środowiskowych i sekretów aplikacyjnych.
• Pozyskanie tokenów API, kluczy dostępowych i danych uwierzytelniających.
• Modyfikacja logiki aplikacji lub osadzenie trwałego mechanizmu dostępu.
• Ruch boczny do innych usług wewnętrznych.
• Exfiltracja danych klientów oraz informacji biznesowych.

Poziom ryzyka rośnie, gdy aplikacja działa z nadmiernymi uprawnieniami, ma szeroki dostęp sieciowy lub funkcjonuje w środowisku pozbawionym restrykcyjnej izolacji kontenerowej. Dodatkowym utrudnieniem dla zespołów SOC jest możliwość wykorzystania kanałów out-of-band, które pozostawiają subtelniejsze ślady niż klasyczne ataki zwracające wynik w odpowiedzi HTTP.

Rekomendacje

Organizacje korzystające z React Server powinny w pierwszej kolejności ustalić, czy używane wersje mieszczą się w zakresie wskazanym w opisie podatności. Następnie należy zweryfikować, które endpointy obsługują akcje serwerowe, żądania RSC oraz złożone payloady multipart/form-data.

• Zaktualizować React i komponenty zależne do wersji wolnej od podatności, gdy poprawka będzie dostępna i przetestowana.
• Ograniczyć ekspozycję publiczną endpointów, które nie muszą być dostępne z Internetu.
• Wdrożyć ścisłą walidację danych wejściowych i odrzucać niestandardowe struktury obiektowe.
• Monitorować ruch wychodzący DNS i HTTP pod kątem anomalii.
• Stosować reguły WAF lub reverse proxy wykrywające podejrzane nagłówki i wzorce payloadów.
• Uruchamiać aplikacje z minimalnymi uprawnieniami oraz bez zbędnego dostępu do narzędzi systemowych.
• Wzmacniać izolację kontenerów poprzez profile seccomp, AppArmor, SELinux i restrykcyjne polityki egress.
• Przeprowadzić przegląd logów pod kątem nietypowych żądań POST i śladów uruchamiania procesów potomnych.

Zalecane jest również przygotowanie działań threat huntingowych. Warto szukać żądań zawierających nagłówki powiązane z akcjami serwerowymi, nietypowych pól multipart/form-data, odniesień do __proto__ i constructor oraz anomalii DNS mogących wskazywać na skuteczne wykonanie kodu.

Podsumowanie

CVE-2025-55182 to podatność o wysokim znaczeniu operacyjnym, ponieważ łączy scenariusz zdalnego wykonania kodu z publicznie dostępnym proof-of-concept i możliwością automatyzacji skanowania. Opisany wektor ataku sugeruje wykorzystanie manipulacji strukturami danych przetwarzanych przez mechanizmy serwerowe React, co może prowadzić do uruchomienia poleceń systemowych w środowisku Node.js.

Dla zespołów bezpieczeństwa priorytetem powinno być szybkie potwierdzenie ekspozycji, wdrożenie środków ograniczających ryzyko, monitoring wskaźników kompromitacji oraz zaplanowanie aktualizacji. choćby jeżeli pełny wpływ podatności zależy od konkretnej implementacji aplikacji, sama dostępność praktycznego exploitu znacząco podnosi poziom zagrożenia.

Źródła

• Exploit Database – React Server 19.2.0 – Remote Code Execution: https://www.exploit-db.com/exploits/52506
• NVD – CVE-2025-55182: https://nvd.nist.gov/vuln/detail/CVE-2025-55182
• React Documentation – Server Components: https://react.dev/reference/rsc/server-components