Kritikus új sérülékenység a React 19-ben — Amit tudnod kell

A cikk bemutatja a frissen felfedett CVE-2025-55182 (és a hozzá tartozó CVE-2025-66478) távoli kódfuttatási sérülékenységet a React 19-ben, kit érint, és milyen lépéseket kell megtenned a védelemért.

React logó figyelmeztető jellel — biztonsági sérülékenység

2025 december 3-án jelent meg nyilvánosan, hogy kritikus — maximális súlyosságú — sérülékenységet fedeztek fel a React Server Components (RSC) rendszerben, ami az React 19-es verzióját (és az azzal épülő keretrendszereket) érinti. A hiba azonosítója CVE-2025-55182 (illetve egy kapcsolódó CVE-2025-66478 a kompatibilis keretrendszerek esetén).

Mi történt és miért veszélyes

A React Server Components lehetővé teszi, hogy szerver-oldali komponenseket és ún. “server-function” végpontokat használj. A sérülékenység lényege, hogy a deszerializálás logikája nem megfelelő: egy rosszindulatú HTTP-kérés esetén a szerver úgy dolgozhat fel olyan payloadot, ami végül tetszőleges JavaScript kód futtatását teszi lehetővé szerver-oldalon.

Ez azt jelenti, hogy hitelesítés nélkül egy támadó képes lehet kódot futtatni a szerveren — rendkívül súlyos biztonsági kockázatot jelent. Még egy “standard”, nem különösen testreszabott RSC-beállítás is veszélyeztetett lehet, ha nem történt javítás.

Elemzések szerint akár a felhőalapú környezetek 39%-a is futtathat jelenleg sérülékeny React- vagy keretrendszer-példányokat.

Mely verziók és csomagok érintettek

A sérülékeny csomagok és verziók a következők:

  • react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — verziók: 19.0.0, 19.1.0, 19.1.1, 19.2.0
  • Bármely alkalmazás vagy keretrendszer, ami ezeket a csomagokat használja — például az Next.js (App Routerrel), vagy bundlerek / plugin-ek, mint a Vite-RSC, Parcel-RSC, stb.

Tehát ha az alkalmazásod React Server Components-t használ, vagy olyan keretrendszeren / bundleren fut, amely beépíti az érintett csomagokat — akkor potenciálisan veszélyben vagy, még akkor is, ha te magad nem írtál szerver-függvényt.

Mi történt eddig — és mit tegyél most azonnal

A React karbantartói azonnal reagáltak: elérhetőek az új, javított kiadások: React 19.0.1, 19.1.2, 19.2.1 (vagy újabb) verziók, amelyek orvosolják a sérülékenységet.

Az érintett keretrendszerek, mint Next.js is közölték a frissített verziókat.

Ha azonnali frissítés nem lehetséges, ideiglenes védelmet jelenthetnek a hálózati szintű megoldások — WAF-ek, tűzfalak, network-access szabályok, endpoint-izoláció. Naplózás, monitoring és további biztonsági rétegek bevezetése is ajánlott.

Biztonsági szakértők sür getik az azonnali lépéseket — ez nem csak elméleti hiba: aktív támadások dokumentáltak, exploit kód már nyilvánosan elérhető.

Miért olyan jelentős ez az esemény

  • A sérülékenység lehetővé teszi, hogy hitelesítés nélkül kompromittáljanak szervereket — egy rossz HTTP-kérés is elég.
  • A React és az abból épülő keretrendszerek (pl. Next.js) óriási elterjedtségűek — tehát a veszély nagyszámú projektet érinthet.
  • Nem csak ritka, “kísérleti” funkciók érintettek — hanem alapértelmezett beállítások és sok népszerű eszköz is.
  • A patch elérhető — ugyanakkor a figyelmetlenség, halogatás vagy hiányzó tesztelés komoly kockázattal jár.

Mit tehetnek a fejlesztők és szervezetek — teendők listája

Auditáld a függőségeidet. Nézd meg, használ-e a projekted (vagy valamelyik függősége) React Server Components-hez tartozó csomagot (react-server-dom-*) az érintett verziókban. Ugyanez igaz bundlerekre vagy keretrendszerekre (Next.js, Vite-RSC, Parcel-RSC stb.).

Frissíts azonnal a javított verziókra: React 19.0.1 / 19.1.2 / 19.2.1-re, valamint minden érintett keretrendszer/bundler is legyen naprakész.

Ha nem tudsz azonnal frissíteni: alkalmazz hálózati szintű védelmet — WAF, tűzfal, endpoint-izoláció; korlátozd, hogy ki férhet hozzá a szerver-oldalhoz; figyeld a naplókat gyanús tevékenységekre (pl. váratlan kódfuttatás, magas CPU-használat, kriptopénz-bányász scriptek, fájlmódosítások).

Tesztelj és érvényesíts a frissítés után — győződj meg róla, hogy a javítás valóban él, és semmilyen sérülékeny komponens nem maradt. Használj biztonsági szkennereket, ha lehetséges. (Közösségi eszközök már készülnek — például “React2Shell Scanner”.)

Kommunikálj az érintett felekkel. Ha az alkalmazás külső ügyfeleknek szolgál, jelezd nekik a kockázatot, és hogy mit tettél a védelem érdekében. Az átláthatóság segíthet bizalmat és esetleges felelősség kezelést.

Befejezés — miért ez most kritikus

Ez a sérülékenység komoly figyelmeztetés mind az egyéni fejlesztőknek, mind vállalatoknak: ami korábban csak „haladó web-fejlesztési funkciónak” tűnt — szerver-komponensek, hibrid renderelés, server-side logika — mára egy valós, és aktívan kihasználható támadási vektor.

Ha a projekted React 19-et használ Server Components-szel (vagy bármely olyan keretrendszert/bundlert, ami beépíti az érintett RSC-csomagokat), tekintsd ezt incidensnek: frissíts azonnal, vizsgáld át a függőségeket, alkalmazz hálózati védelmet, és győződj meg róla, hogy biztonságban vagy.

Ne halogasd — a kockázat valódi, a következmények komolyak lehetnek: szerver kompromittálás, adatlopás, kriptopénz-bányászat, rosszindulatú kód futtatás. A React ökoszisztéma nagysága miatt a tét most rendkívül magas.

Szatmári Mihály