Kaspersky 4 декабря 2025 года исследователи опубликовали подробности о критической уязвимости CVE-2025-55182, оцененной в 10 баллов по шкале CVSS. Она получила неофициальное название React4Shell, так как затрагивает функциональность React Server Components (RSC), которая применяется в веб-приложениях, написанных с использованием библиотеки React . RSC позволяет ускорить процедуру рендеринга UI путем распределения задач между клиентом и сервером. Уязвимость относится к типу CWE-502 (десериализация недоверенных данных) и позволяет атакующему запускать команды, а также читать и писать файлы в доступных веб-приложению директориях от имени процессов сервера. Краткий технический анализ В основе React-приложений лежит компонентная модель. Это означает, что каждая часть приложения или фреймворка должна работать самостоятельно и предлагать другим компонентам понятные и простые методы взаимодействия. Такой подход позволяет достаточно гибко развивать приложения и добавлять новые функции, однако требует от пользователя скачивать большие объемы данных, из-за чего веб-приложения не всегда работают одинаково на разных устройствах. Именно поэтому была создана функциональность React Server Components. В состав RCS входит компонент Server Actions, внутри которого и была найдена уязвимость. Чтобы добраться до уязвимой функции, достаточно отправить на сервер POST-запрос, включающий сериализованный набор данных для дальнейшего выполнения. Часть функциональности обработчика, который позволяет производить небезопасную десериализацию представим ниже: Сравнение уязвимой функции (слева) и исправленной (справа) Меры по снижению рисков Мы настоятельно рекомендуем обновить соответствующие пакеты, установив патчи от разработчиков соответствующих модулей и бандлов. Подверженные уязвимости версии компонентов React Server Components: react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0) react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0) react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0) Подтвержденные бандлы и модули, которые используют React Server Components: next Source: https://securelist.ru/cve-2025-55182/114176/