X
Akamai adquirirá a LayerX para implementar o controle de uso de IA em qualquer navegador. Veja os detalhes
Akamai
Fazer login
Fazer login Close
Cloud Manager
Gerencie seus serviços de computação em nuvem
Fazer login Close
Control Center
Gerencie seus serviços de segurança e entrega

CVE-2025-55183 e CVE-2025-55184: Mitigação de vulnerabilidades React/Next.js

Compartilhe

Resumo executivo

Fomos notificados por nossos parceiros sobre algumas vulnerabilidades recém-divulgadas que estão afetando vários frameworks baseados em React.

A Akamai implantou Regras rápidas do Akamai Adaptive Security Engine para proteger os clientes contra essas ameaças. Para clientes da Guardicore inscritos no Akamai Hunt, a Akamai pesquisou e identificou ativos vulneráveis relevantes em ambientes de clientes e forneceu recomendações para proteger esses ativos.

Detalhes da vulnerabilidade

Duas novas vulnerabilidades foram encontradas em estruturas do React Server Component (RSC):

  1. CVE-2025-55183 — divulgação de informações: os invasores podem coagir argumentos nas funções do servidor para vazar o código-fonte somente do servidor se a entrada não for validada corretamente.
  2. CVE-2025-55184 — negação de serviço (DoS) em nível de função: payloads especialmente criados podem congelar servidores Node.js criando recursão de promessa infinita e tirar do ar os servidores afetados.

Mitigação com o Akamai App & API Protector

Em 10 de dezembro de 2025, a Akamai implantou Regras rápidas do Adaptive Security Engine para os clientes do App & API Protector para oferecer cobertura total.

  • 3000977 — vulnerabilidade de vazamento de informações no React detectada (CVE-2025-55183)

  • 3000978 — vulnerabilidade de negação de serviço no React detectada (CVE-2025-55184)

Resumo

A Akamai implantou novas regras no App & API Protector para proteger os clientes contra as vulnerabilidades recém-divulgadas que estão afetando várias estruturas baseadas em React.

Os clientes do Akamai Hunt se beneficiam do monitoramento contínuo 24 horas por dia, 7 dias por semana de vulnerabilidades novas e de alta gravidade, como esta, bem como das recomendações direcionadas para a aplicação de patches virtuais por meio dos recursos granulares de microssegmentação da Guardicore.

Os clientes da Guardicore com Insight podem identificar ativos vulneráveis usando a consulta apropriada:

SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack') 
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')

UNION ALL

SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');

No entanto, a defesa mais eficaz será sempre a aplicação imediata dos patches fornecidos pelo fornecedor. Dada a gravidade deste problema, quaisquer patches devem ser aplicados o mais rápido possível. Para obter mais informações sobre patches, consulte as postagens dos blogs do React e do Next.js.

Fique por dentro

O Akamai Security Intelligence Group continuará monitorando, notificando e criando mitigações quanto a ameaças como essas para nossos clientes e para a comunidade de segurança em geral. Para acompanhar as notícias mais recentes do Akamai Security Intelligence Group, confira nossa página inicial de pesquisa e siga nossos perfis nas redes sociais.

Leia mais pesquisas

Tags

Compartilhe

Publicações de blog relacionadas

Proteger o código do lado do cliente e sua carga útil requer uma estratégia complexa que envolve várias camadas de defesa e tecnologias.
Proteger o código do lado do cliente e sua carga útil requer uma estratégia complexa que envolve várias camadas de defesa e tecnologias.
Pesquisas sobre segurança
Proteger o código do lado do cliente e certificar a autenticidade da coleta de dados
July 08, 2025
Saiba como manter a resiliência cibernética e manter a integridade da coleta de dados com estes métodos de proteção do JavaScript do lado do cliente.
Leia o blog
Como o DDoS continua a ser um grande vetor de ameaças, o setor de serviços financeiros deve garantir que ele tenha planos atualizados para ataques das Camadas 3 e 4 (infraestrutura) e da Camada 7 (web).
Segurança
Os altos riscos da inovação: tendências de ataque em serviços financeiros
September 27, 2023
O mais recente relatório State of the Internet/Security examina a crescente ameaça de riscos de segurança existentes e emergentes para o setor de serviços financeiros e seus clientes.
Leia o blog
Mais cedo ou mais tarde, todas as empresas médias ou grandes enfrentarão um evento cibernético, e sua resolução exigirá experiência humana.
Cibersegurança
O ano de 2024 em análise: os insights de hoje, a previsão de amanhã
December 03, 2024
Seis especialistas cibernéticos da Akamai analisam as tendências e eventos relevantes de 2024 e dão sua perspectiva baseada em informações sobre o que esperar em 2025.
Leia o blog