Один запрос — и сервер ваш. Новая CVE в React Server ставит под угрозу 39% облаков
NewsMakerИсследователи раскрыли «идеальную десятку» — уязвимость CVE-2025-55182 в React Server, которая превращает любой уязвимый сервер в открытую дверь для хакеров.
Разработчики и админы по всему миру в срочном порядке обновляют свои серверы после раскрытия критической уязвимости в React Server, открывающем злоумышленникам удалённый запуск кода без аутентификации с помощью всего одного HTTP-запроса. Эксплойт уже доступен публично, а сама проблема получила максимальную оценку опасности — 10 из 10 по CVSS.
React активно используется на серверах, чтобы ускорять отдачу JavaScript и контента: вместо полной перезагрузки страницы при каждом запросе он перерисовывает только изменившиеся части интерфейса. Это серьёзно экономит ресурсы и повышает скорость работы приложений. По оценкам , React применяют порядка 6% всех сайтов и около 39% облачных окружений, поэтому уязвимость затрагивает огромный пласт инфраструктуры.
Специалисты Wiz сообщают, что для эксплуатации требуется всего один специально сформированный HTTP-запрос, а в их тестах успешность атаки была «почти 100%». Дополнительную опасность создаёт то, что многие популярные фреймворки и библиотеки встраивают React Server по умолчанию. В результате уязвимыми могут оказаться даже те приложения, которые напрямую не используют функциональность React, но где интеграционный слой всё равно вызывает уязвимый код.
Именно сочетание широчайшего распространения React, простоты эксплуатации и возможности полного захвата сервера и привело к максимальной оценке критичности. В соцсетях специалисты по безопасности и разработчики призывают не откладывать обновление ни на минуту. «Я обычно так не говорю, но исправляйте прямо сейчас, чёрт побери», — пишет один из специалистов, подчёркивая , что уязвимость React с идентификатором CVE-2025-55182 — это «идеальная десятка».
Разработчики и админы по всему миру в срочном порядке обновляют свои серверы после раскрытия критической уязвимости в React Server, открывающем злоумышленникам удалённый запуск кода без аутентификации с помощью всего одного HTTP-запроса. Эксплойт уже доступен публично, а сама проблема получила максимальную оценку опасности — 10 из 10 по CVSS.
React активно используется на серверах, чтобы ускорять отдачу JavaScript и контента: вместо полной перезагрузки страницы при каждом запросе он перерисовывает только изменившиеся части интерфейса. Это серьёзно экономит ресурсы и повышает скорость работы приложений. По оценкам , React применяют порядка 6% всех сайтов и около 39% облачных окружений, поэтому уязвимость затрагивает огромный пласт инфраструктуры.
Специалисты Wiz сообщают, что для эксплуатации требуется всего один специально сформированный HTTP-запрос, а в их тестах успешность атаки была «почти 100%». Дополнительную опасность создаёт то, что многие популярные фреймворки и библиотеки встраивают React Server по умолчанию. В результате уязвимыми могут оказаться даже те приложения, которые напрямую не используют функциональность React, но где интеграционный слой всё равно вызывает уязвимый код.
Именно сочетание широчайшего распространения React, простоты эксплуатации и возможности полного захвата сервера и привело к максимальной оценке критичности. В соцсетях специалисты по безопасности и разработчики призывают не откладывать обновление ни на минуту. «Я обычно так не говорю, но исправляйте прямо сейчас, чёрт побери», — пишет один из специалистов, подчёркивая , что уязвимость React с идентификатором CVE-2025-55182 — это «идеальная десятка».