Haavoittuvuus23/2025CVSS 10CVE-2025-66478 (Ulkoinen linkki)
React on julkaissut haavoittuvuustiedotteen React Server Components -toiminnallisuuden haavoittuvuudesta, jonka avulla todentamaton hyökkääjä voi suorittaa mielivaltaista koodia kohdelaitteella. On suositeltavaa asentaa päivitykset viipymättä ja tarkastaa organisaatioiden käyttämien tuotteiden tilanne haavoittuvuuden osalta.
Haavoittuvuuden kohde
Lähtökohtaisesti kaikki tuotteet, jotka käyttävät versioita 19.0, 19.1.0, 19.1.1 ja 19.2.0 seuraavista paketeista, ovat haavoittuvia:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Korjaavat versiot ovat 19.0.1, 19.1.2 ja 19.2.1
React on tunnistanut ainakin seuraavien tuotteiden käyttävän kyseisiä paketteja: Next.js, React Router, Expo, Redwood SDK, Waku ja @vitejs/plugin-rsc.
Haavoittuvuus saattaa koskea myös kaikkia tuotteita, jotka käyttävät React Server Components -toiminnallisuutta hyväkseen tai tukevat kyseistä toiminnallisuutta.
Haavoittuvuus koskee niin organisaatioita, kuin loppukäyttäjiäkin. On erittäin suositeltavaa päivittää käyttämänsä tuotteet aktiivisesti ajan tasalle.
Mistä on kysymys?
Haavoittuvuuden avulla todentamaton hyökkääjä voi suorittaa mielivaltaista koodia kohdejärjestelmässä HTTP-kutsun kautta.
Haavoittuvuuden hyväksikäyttöä ei ole vielä havaittu, mutta on hyvin todennäköistä, että hyväksikäyttöä tullaan näkemään.
Mitä voin tehdä?
Seuraa valmistajien ilmoituksia haavoittuvuudesta ja asenna päivitykset valmistajan ohjeiden mukaisesti.