Resumo executivo
Fomos notificados por nossos parceiros que uma vulnerabilidade recém-divulgada CVE-2025-55182 que afeta várias estruturas baseadas em React revelou uma falha crítica na forma como o protocolo Server Functions processa solicitações Flight recebidas. A equipe do Next.js publicou um aviso separado, CVE-2025-66478, para rastrear o impacto dessa vulnerabilidade.
Não houve nenhuma exploração ativa observada dessa vulnerabilidade. Ainda assim, a Akamai implantou uma Regra rápida do Adaptive Security Engine para proteger os clientes contra essa ameaça.
Detalhes da vulnerabilidade
No centro do problema está a desserialização desprotegida, na qual as entradas controladas pelo invasor são analisadas e expandidas sem validação ou higienização suficientes. Observação: essa vulnerabilidade não requer autenticação, o que a torna trivial e mais fácil de explorar.
Durante esse processo, o mecanismo de desserialização expande implicitamente as propriedades do objeto, tornando-o suscetível à poluição do protótipo. Ao injetar chaves maliciosas no fluxo de dados, um invasor pode adulterar protótipos de objetos fundamentais, alterando o comportamento de aplicações web em tempo de execução.
Quando esse primitivo é combinado com caminhos de execução específicos em componentes do React Server, o ataque pode ser escalado para alcançar a execução remota de código (RCE) no servidor visado. Esse risco é especialmente grave para aplicações web que dependem muito dos componentes do React Server e do modelo de execução Server Functions mais amplo, onde os limites de confiança são fortemente acoplados aos protocolos de serialização. (Mais informações podem ser encontradas no post do blog publicado pela Equipe React.)
A vulnerabilidade está presente nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 de:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
Os seguintes frameworks e bundlers são afetados:
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Mitigação com o Akamai App & API Protector
Em 3 de dezembro de 2025, a Akamai implantou uma Regra rápida do Adaptive Security Engine para os clientes do App & API Protector para oferecer cobertura total.
3000976 — ataque detectado de execução remota de código do React (CVE-2025-55182)
Resumo
Uma nova regra no Akamai App & API Protector foi implantada para proteger nossos clientes contra essa ameaça. Contudo, a defesa mais eficaz sempre será aplicar os patches fornecidos pelo fornecedor imediatamente. Dada a gravidade do problema, quaisquer patches devem ser aplicados o mais rápido possível.
O Akamai Security Intelligence Group continuará monitorando, notificando e criando mitigações quanto a ameaças como essas para nossos clientes e para a comunidade de segurança em geral. Para acompanhar as notícias mais recentes do Akamai Security Intelligence Group, confira nossa página inicial de pesquisa e nos siga nas redes sociais.
Tags
