Equipe do React alerta para mais três vulnerabilidades críticas no React Server Components

Pesquisadores de segurança descobriram e divulgaram duas vulnerabilidades adicionais em React Server Components enquanto tentavam explorar as correções feitas na vulnerabilidade React2Shell (CVE-2025-55182), divulgada na semana passada. Apesar disso, o patch para o React2Shell continua eficaz na mitigação do exploit anterior, que permitia execução remota de código.

As novas vulnerabilidades são CVE-2025-55184 e CVE-2025-67779 (negação de serviço), e CVE-2025-55183 (exposição de código-fonte). Elas estão presentes nos mesmos pacotes e versões afetados pelo CVE-2025-55182. Isso inclui as versões 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 e 19.2.1 de react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. As correções foram aplicadas às versões 19.0.2, 19.1.3 e 19.2.2. Recomenda-se atualizar imediatamente.

A CVE-2025-55184 permite criar e enviar uma requisição HTTP maliciosa para qualquer endpoint de Server Functions que, ao ser desserializada pelo React, provoca um loop infinito que trava o processo do servidor e consome CPU. Isso cria um vetor de ataque que pode permitir que um invasor impeça usuários de acessarem o produto e ainda cause impacto de desempenho no ambiente do servidor.

Já na CVE-2025-55183, uma requisição HTTP maliciosa enviada para uma Server Function vulnerável pode retornar de forma insegura o código-fonte de qualquer Server Function. A exploração exige que exista uma Server Function que exponha, direta ou indiretamente, um argumento convertido em string.