Рабочий эксплойт для взлома React выложен на GitHub — миллионы серверов Next.js в зоне поражения
NewsMakerУязвимость CVE-2025-55182 официально превращается в инструмент массовых атак.
После объявления о критической уязвимости CVE-2025-55182 в React Server Components стало ясно, что вопрос времени — появление рабочего эксплойта. Теперь этот момент наступил : в сети опубликован инструмент, который автоматизирует атаку на серверы Next.js, использующие App Router вместе с Server Actions. В отличие от первых исследовательских демонстраций, новый код представляет собой полноценный эксплойт, готовый для массового применения. Его автор позиционирует инструмент как образовательный, но сам факт его публичного появления делает ситуацию заметно острее.
Тем более что, как и предсказывали исследователи, уязвимость уже начала эксплуатироваться атакующими: первые попытки боевого применения обнаружены в инфраструктуре Amazon Web Services (AWS). Компания связывает активность как с известными китайскими группировками, так и с неназванными кластерами, использующими анонимизирующую инфраструктуру. Наблюдения AWS показывают, что эксплуатация стартовала почти сразу после публичного раскрытия уязвимости 3 декабря 2025 года, что резко повышает значимость появления общедоступного инструмента.
Опасность остаётся прежней: из-за ошибки в десериализации протокола Flight злоумышленник может выполнить произвольный JavaScript-код на сервере через прототипное загрязнение — механизм, который позволяет незаметно вмешаться в базовые свойства объектов. В опубликованном PoC-коде атака начинается с изменения Object.prototype.then, а затем расширяется за счёт подмены конструктора, чтобы получить доступ к функции Function() и встроить в неё свою нагрузку. Структура вредоносного объекта выглядит, например, так:
После объявления о критической уязвимости CVE-2025-55182 в React Server Components стало ясно, что вопрос времени — появление рабочего эксплойта. Теперь этот момент наступил : в сети опубликован инструмент, который автоматизирует атаку на серверы Next.js, использующие App Router вместе с Server Actions. В отличие от первых исследовательских демонстраций, новый код представляет собой полноценный эксплойт, готовый для массового применения. Его автор позиционирует инструмент как образовательный, но сам факт его публичного появления делает ситуацию заметно острее.
Тем более что, как и предсказывали исследователи, уязвимость уже начала эксплуатироваться атакующими: первые попытки боевого применения обнаружены в инфраструктуре Amazon Web Services (AWS). Компания связывает активность как с известными китайскими группировками, так и с неназванными кластерами, использующими анонимизирующую инфраструктуру. Наблюдения AWS показывают, что эксплуатация стартовала почти сразу после публичного раскрытия уязвимости 3 декабря 2025 года, что резко повышает значимость появления общедоступного инструмента.
Опасность остаётся прежней: из-за ошибки в десериализации протокола Flight злоумышленник может выполнить произвольный JavaScript-код на сервере через прототипное загрязнение — механизм, который позволяет незаметно вмешаться в базовые свойства объектов. В опубликованном PoC-коде атака начинается с изменения Object.prototype.then, а затем расширяется за счёт подмены конструктора, чтобы получить доступ к функции Function() и встроить в неё свою нагрузку. Структура вредоносного объекта выглядит, например, так:
{ "then": "$1:__proto__:then", "status": "resolved_model", "reason": -1, "value": "{\"then\":\"$B1337\"}", "_response": {"_prefix": "","_chunks": "$Q2","_formData": {"get": "$1:constructor:constructor"} } } Именно такой набор полей вызывает цепочку ошибок внутри Flight и приводит к выполнению кода на стороне сервера. Теперь, когда эта техника упакована в удобный инструмент, эксплуатация уязвимости занимает всего несколько команд в терминале. По данным AWS, в реальных атаках злоумышленники уже пробуют различные полезные нагрузки, выполняют команды («whoami», «id»), пытаются создавать файлы вроде /tmp/pwned.txt и читать /etc/passwd, вручную подстраивая эксплойты под поведение конкретных целевых систем.