Якщо ви використовуєте React Server Components або Next.js App Router — це безпосередньо про вас.
CVE-2025-55182 (React2Shell) отримала максимальний рейтинг небезпеки CVSS 10.0. Вразливість дозволяє віддалене виконання коду (RCE) без автентифікації.
Чому це дійсно критично
Додаток може бути вразливим навіть у випадку, якщо ви не використовуєте серверні функції напряму. Достатньо того, що React Server Components увімкнені за замовчуванням.
Експлуатація відбувається через HTTP POST-запити зі спеціальними заголовками next-action або rsc-action-id.
Хто вже атакує
За даними AWS Security, китайські APT-групи Earth Lamia та Jackpot Panda почали експлуатувати вразливість протягом годин після її публічного розкриття.
Зафіксовані масові спроби атак на:
– фінансовий сектор
– логістику
– IT-компанії
– державні установи
Що під загрозою
• React 19.x
• Next.js 15.x та 16.x (App Router)
Що робити негайно
• Оновитися до пропатчених версій (AWS Security Bulletin AWS-2025-030)
• Налаштувати WAF-правила для блокування підозрілих POST-запитів
• Перевірити логи на наявність запитів із заголовками next-action / rsc-action-id
• Провести експрес-аудит зовнішнього периметра застосунку
Це класичний приклад того, як modern stack ≠ secure by default. Реакція в перші 24–48 годин критично впливає на наслідки інциденту.
