01 - Vulnerabilidade crítica de segurança em componentes de servidor React
3 de dezembro de 2025 pela Equipe React
Existe uma vulnerabilidade de execução remota de código sem autenticação nos componentes de servidor do React.
Recomendamos que você atualize imediatamente.
Em 29 de novembro, Lachlan Davidson relatou uma vulnerabilidade de segurança no React que permite a execução remota de código sem autenticação, explorando uma falha na forma como o React decodifica os dados enviados aos endpoints das funções do servidor React.
Mesmo que seu aplicativo não implemente nenhum endpoint de função do servidor React, ele ainda pode ser vulnerável se suportar componentes do servidor React.
Essa vulnerabilidade foi divulgada como CVE-2025-55182 e possui classificação CVSS 10.0.
A vulnerabilidade está presente nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 de:
Ação imediata necessária
Uma correção foi introduzida nas versões 19.0.1 , 19.1.2 e 19.2.1 . Se você estiver usando algum dos pacotes acima, atualize imediatamente para uma das versões corrigidas.
Se o código React do seu aplicativo não usa um servidor, ele não é afetado por essa vulnerabilidade. Se o seu aplicativo não usa um framework, bundler ou plugin de bundler que suporte componentes de servidor React, ele também não é afetado por essa vulnerabilidade.
Frameworks e bundlers afetados
Algumas estruturas e bundlers do React dependiam, tinham dependências entre si ou incluíam os pacotes vulneráveis do React. As seguintes estruturas e bundlers do React são afetados: next , react-router , waku , @parcel/rsc , @vitejs/plugin-rsc e rwsdk .
Atualizaremos esta publicação com instruções sobre como atualizar assim que estiverem disponíveis.
Mitigações do provedor de hospedagem
Trabalhamos com diversos provedores de hospedagem para implementar medidas mitigadoras temporárias.
Você não deve depender dessas medidas para proteger seu aplicativo e ainda assim deve atualizá-lo imediatamente.
Visão geral da vulnerabilidade
As funções de servidor do React permitem que um cliente chame uma função em um servidor. O React fornece pontos de integração e ferramentas que frameworks e bundlers utilizam para ajudar o código React a ser executado tanto no cliente quanto no servidor. O React traduz as requisições do cliente em requisições HTTP, que são encaminhadas para um servidor. No servidor, o React traduz a requisição HTTP em uma chamada de função e retorna os dados necessários para o cliente.
Um atacante não autenticado poderia criar uma requisição HTTP maliciosa para qualquer endpoint de função do servidor que, ao ser desserializada pelo React, permitiria a execução remota de código no servidor. Mais detalhes sobre a vulnerabilidade serão fornecidos após a conclusão da implementação da correção.
Instruções de atualização
Next.js
Todos os usuários devem atualizar para a versão mais recente com as correções de segurança aplicadas em sua linha de distribuição:
npm install next@15.0.5 // for 15.0.x
npm install next@15.1.9 // for 15.1.x
npm install next@15.2.6 // for 15.2.x
npm install next@15.3.6 // for 15.3.x
npm install next@15.4.8 // for 15.4.x
npm install next@15.5.7 // for 15.5.x
npm install next@16.0.7 // for 16.0.x
Se você estiver usando o Next.js 14.3.0-canary.77 ou uma versão canary posterior, faça o downgrade para a versão estável mais recente da série 14.x:
npm install next@14
Consulte o changelog do Next.js para obter mais informações.
React Router
Se você estiver usando as APIs RSC instáveis do React Router, atualize as seguintes dependências do package.json, caso existam:
npm install react@latestnpm install react-dom@latestnpm install react-server-dom-parcel@latestnpm install react-server-dom-webpack@latestnpm install @vitejs/plugin-rsc@latest
Expo
Para saber mais sobre como mitigar o problema, leia o artigo em expo.dev/changelog .
SDK Redwood
Certifique-se de estar usando a versão rwsdk>=1.0.0-alpha.0
Para a versão beta mais recente:
npm install rwsdk@latest
Atualize para a versão mais recente react-server-dom-webpack:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
Consulte a documentação do Redwood para obter mais instruções sobre a migração.
Waku
Atualize para a versão mais recente react-server-dom-webpack:
npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest
Consulte o anúncio da Waku para obter mais instruções sobre a migração.
@vitejs/plugin-rsc
Atualize para a versão mais recente do plugin RSC:
npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
react-server-dom-parcel
Atualize para a versão mais recente:
npm install react@latest react-dom@latest react-server-dom-parcel@latest
react-server-dom-turbopack
Atualize para a versão mais recente:
npm install react@latest react-dom@latest react-server-dom-turbopack@latest
react-server-dom-webpack
Atualize para a versão mais recente:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
Linha do tempo
- 29 de novembro : Lachlan Davidson reportou a vulnerabilidade de segurança através do Meta Bug Bounty .
- 30 de novembro : Os pesquisadores de segurança da Meta confirmaram o problema e começaram a trabalhar com a equipe do React em uma correção.
- 1º de dezembro : Uma correção foi criada e a equipe do React começou a trabalhar com os provedores de hospedagem e projetos de código aberto afetados para validar a correção, implementar medidas de mitigação e disponibilizá-la para todos.
- 3 de dezembro : A correção foi publicada no npm e divulgada publicamente como CVE-2025-55182.
Atribuição
Agradecemos a Lachlan Davidson por descobrir, relatar e trabalhar para ajudar a corrigir essa vulnerabilidade.