Falhas críticas no React e Next.js permitem execução remota de código em servidores

Duas falhas críticas de segurança foram recém-descobertas no ecossistema do React 19 e em frameworks que utilizam React Server Components (RSC), especialmente o Next.js. As vulnerabilidades CVE-2025-55182 (React) e CVE-2025-66478 (Next.js) permitem a execução remota de código (RCE) sem autenticação.

O problema está no protocolo Flight, usado pelos React Server Components para enviar dados do cliente para o servidor. O pacote “react-server” faz uma desserialização insegura desses dados. Quando recebe um payload malformado, ele não valida corretamente sua estrutura e acaba permitindo que dados controlados pelo invasor interfiram na lógica interna do servidor. Isso abre espaço para executar JavaScript com privilégios, levando a comprometimento total da máquina.

A falha afeta as configurações padrão, portanto aplicações comuns em produção estão vulneráveis sem que nada incomum tenha sido feito. Esses ataques são extremamente fáceis de explorar, têm quase 100% de sucesso e exigem apenas uma requisição HTTP.

Os produtos afetados incluem “react-server-dom” nas versões 19.0.0, 19.1.0, 19.1.1 e 19.2.0, corrigido nas releases 19.0.1, 19.1.2 e 19.2.1; e o Next.js nas séries 14.3.0-canary, 15.x e 16.x. Desenvolvedores devem atualizar para as versões 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 e 16.0.7.

Recomenda-se atualizar imediatamente esses componentes e qualquer dependência que use RSC.