От 10 000 до 25 000 российских веб-ресурсов могут быть под ударом из-за новой критической уязвимости Критическая уязвимость в React Server Components (CVE-2025-55182) и Next.js (CVE-2025-66478) позволяет атакующим выполнять произвольный код на сервере. В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Уязвимость также затронула приложения Next.js (CVE-2025-66478). Павел Загуменнов, руководитель решений анализа защищенности BI.ZONE: «По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тысяч российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например BI.ZONE CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее». Уязвимы компоненты React версий 19.0; 19.1.0; 19.1.1; 19.2.0. Уязвимы следующие пакеты React: Дополнительно уязвимость затронула перечисленные ниже фреймворки: nextreact-routerwaku@parcel/rsc@vitejs/plugin-rscrwsdk В случае Next.js уязвимы версии: Next.js 15.xNext.js 16.xNext.js 14.3.0-canary.77 и более новые canary-релизы Эксплуатация уязвимости уже блокируется BI.ZONE WAF. Дополнительная информация: Source: https://cisoclub.ru/ot-10-000-do-25-000-rossijskih-veb-resursov-mogut-byt-pod-udarom-iz-za-novoj-kriticheskoj-ujazvimosti/