React2Shell (CVE-2025-55182): Kritikus távoli kódfuttatás Server React Server

A CVE-2025-55182 egy kritikus, hitelesítés előtti távoli kódfuttatási sebezhetőség Server React Server , amelynek CVSS-pontszáma 10,0 – ez a lehetséges legmagasabb súlyossági besorolás. Az OPSWAT Fellowship Program keretében ösztöndíjasaink átfogó technikai elemzést végeztek erről a sebezhetőségről, megvizsgálva annak kiváltó okát a React Flight deserializációs protokollban, a teljes kihasználási láncot, valamint annak széles körű hatását a modern webes ökoszisztémára. Ez a blogbejegyzés bemutatja eredményeinket, valamint gyakorlati útmutatást nyújt a védelemmel foglalkozók számára.

A React a világ egyik legelterjedtebb front-end könyvtárává vált, amely a modern webes és mobile jelentős részét támogatja. A Stack Overflow fejlesztői felmérései következetesen a Reactot sorolják a legjobb webes keretrendszerek közé, amelynek használata világszerte meghaladja a professzionális fejlesztők 40%-át. Ezzel a növekedéssel párhuzamosan a React csapata bevezette Server React Server (RSC) Server a React 19 egyik alapvető jellemzőjeként – ez egy paradigmaváltás, amely a renderelési logikát a kliensről a szerverre helyezi át, lehetővé téve az optimalizált teljesítményt és a szerveroldali és kliensoldali kódok szorosabb integrációját.

Ez az architektúrafejlesztés azonban egy kritikus új támadási felületet hozott magával. 2025. november 29-én Lachlan Davidson biztonsági kutató jelentette a Meta Bug Bounty programjának a React szerveroldali deszerializációs logikájában található sebezhetőséget. A 2025. december 3-án CVE-2025-55182 kóddal nyilvánosságra hozott hiba lehetővé teszi a hitelesítés nélküli távoli kódfuttatást egyetlen, speciálisan kialakított HTTP-kérés révén. A CWE-502 (megbízhatatlan adatok deszerializálása) kategóriába sorolt sebezhetőség nem igényel hitelesítést, felhasználói beavatkozást vagy speciális alkalmazáskonfigurációt – a termelésre készített alapértelmezett create-next-app telepítés azonnal kihasználható.

A React egy felhasználói felületek készítésére szolgáló JavaScript-könyvtár, amelyet a Meta és egy széles körű nyílt forráskódú közösség tart karban. A React 19-ben bevezetett React Server (RSC) alapvető változást jelent a React-alkalmazások renderelésének kezelésében. A hagyományos, teljes egészében a böngészőben futó klienskomponensekkel ellentétben a szerverkomponensek a szerveren futnak, és a felhasználói felület sorosított ábrázolását állítják elő, amelyet a kliensnek továbbítanak. Ez a kialakítás csökkenti a böngészőbe továbbított JavaScript mennyiségét, javítja az interaktivitás eléréséhez szükséges időt, és közvetlen hozzáférést biztosít a szerveroldali erőforrásokhoz, például adatbázisokhoz és fájlrendszerekhez.

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

Vegyünk egy olyan Server , amelyet az alábbiak szerint definiáltak:

A megfelelő HTTP-kérés több űrlapmezőt tartalmaz, amelyek mindegyike egy kulcsból és egy értékből áll: a 0. mező tartalmazza az argumentumtömböt olyan hivatkozásokkal, mint például „$W1” és „$K2”, míg az 1. és a 2.* mezők azokat az adatokat tartalmazzák, amelyekre ezek a hivatkozások utalnak. A szerver az egyes mezőket érkezésük sorrendjében dolgozza fel, és a közbenső eredményeket „chunkok” nevű objektumokban tárolja.

A chunk egy thenable objektum, amelynek négy fő tulajdonsága van: status (a feldolgozás állapota), value (a tárolt adat), reason (hibainformáció) és _response (visszautalás a szülő válaszobjektumra). Amikor a szerver találkozik egy await chunk-kal, a chunk .then() metódusa meghívásra kerül. Ha a chunk állapota INITIALIZED, a resolve callback megkapja a chunk.value értéket. Ha az állapot PENDING, BLOCKED vagy CYCLIC, a callbackok sorba kerülnek későbbi végrehajtásra.

Az alábbiakban bemutatjuk, hogyan dolgozza fel a Next.js normál körülmények között a beérkező Server -kérelmet, az HTTP-rétegtől kezdve a React Flight deszerializációs motorig.

Amikor egy Server meghívnak, a kérés a `handleAction` függvénybe kerül. Ez a függvény ellenőrzi a metaadatokat, a fejléceket és a CSRF-tokeneket, valamint meggyőződik arról, hogy a kérés érvényes lekérdezési művelet. Ezután létrehozásra kerül egy busboyStream nevű stream a többrészes űrlap testének elemzéséhez. A decodeReplyFromBusboy függvény eseménykibocsátókat köt ehhez a streamhez, ami a nyers adatok fogadásakor elindítja a React Serverdeszerializációs kezelőfüggvényeit. A decodeReplyFromBusboy visszatérési értéke chunk_0; az await operátor ezt feloldja, és az összeállított értéket átadja a meghívott Server .

A getChunk függvény visszaadja az adott azonosítóhoz tartozó darabot. Ha az adott darab még nem létezik, akkor létrehoz egy ResolvedModelChunk objektumot (ha már vannak adatok a response._formData-ban), vagy egy PendingChunk objektumot (ha még nem érkeztek adatok az adott azonosítóhoz).

Amikor a decodeReplyFromBusboy a chunk_0 értéket adja vissza, a blokk még mindig PENDING állapotban van. Az await operátor meghívja a chunk_0.then() metódust, és ideiglenesen elmenti a resolve és a reject visszahívásokat a chunk_0.value és a chunk_0.reason változókba. Ezeket a visszahívásokat a wakeChunk függvény aktiválja újra, miután a hivatkozás feloldása befejeződött.

Amikor a busboyStream egy teljes nyers adatmezőt kap, elindítja a „field” eseménykibocsátót, meghívja a resolveField függvényt, és elindítja a deszerializálást – vagyis a nyers űrlapadatok teljes értékű JavaScript-objektumokká történő átalakítását. Ezt a folyamatot a következő függvények irányítják.

resolveField(response, key, value)

A kulcs és az érték hozzáadódik a response._formData tárgyhoz. A függvény ezután lekérdezi azt a blokkot, amelynek azonosítója megegyezik a kulccsal. Ha az adott blokk már létezik, akkor a resolveModelChunk függvényt hívja meg annak újbóli létrehozásához. Erre a késleltetett feloldásra azért van szükség, mert az érték hivatkozásokat tartalmazhat olyan mezőkre, amelyek nyers adatai még nem érkeztek meg; ilyen esetben a React Server egy PendingChunk objektumot egyéni resolve és reject visszahívásokkal, hogy később kezelje ezeket a hivatkozásokat.

resolveModelChunk(chunk, value, id)

A resolveModelChunk létrehoz egy ResolvedModelChunk objektumot RESOLVED_MODEL állapotban, és beilleszti a nyers adatokat. Ezután az initializeModelChunk segítségével rekonstruálja a darabot, majd a wakeChunk hívásával elindítja a sorba állított resolve és reject visszahívásokat, ezzel befejezve az objektum vagy hivatkozás feloldását.

initializeModelChunk(chunk)

Az initializeModelChunk a blokk állapotát CYCLIC-re állítja – jelezve, hogy a hivatkozások feloldása folyamatban van –, majd megkezdi a deszerializálást. A JSON.parse segítségével a chunk.value értékből létrehoz egy nyers JavaScript-objektumot, majd ezt az objektumot átadja a reviveModel függvénynek.

reviveModel(válasz, szülőobjektum, szülőkulcs, érték, hivatkozás)

A reviveModel rekurzív módon feldolgozza az elemzett objektum minden egyes elemét. Ha karakterláncértékre bukkan, a parseModelString függvényt hívja meg annak feldolgozására.

parseModelString(response, obj, key, value, reference)

A parseModelString a karakterlánc előtagja alapján választja ki a megfelelő kezelőt a különböző kódolási típusokhoz. A $ karakterrel kezdődő hivatkozások esetében a getOutlinedModel függvényt hívja meg a darabok közötti hivatkozás feloldásához.

getOutlinedModel(response, reference, parentObject, key, map)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

A kritikus hiba abban rejlik, hogy ezeket a tulajdonságneveket soha nem ellenőrzik. A szerver nem ellenőrzi, hogy a kért tulajdonságok az objektum saját tulajdonságai-e, vagy örökölt prototípus-tulajdonságok. Egy támadó ezért beillesztheti a __proto__-t a tulajdonság útvonalába, hogy végigjárja a prototípus-láncot, és elérje azokat a belső módszereket, amelyekhez soha nem szabadna hozzáférni a felhasználó által vezérelt bemenetből. Például a $1:__proto__:then hivatkozás a Chunk.prototype.then-re oldódik fel – egy olyan függvényre, amelyet a támadó ezután vezérelt argumentumokkal hívhat meg.

A támadási lánc a React Flight deszerializációs logikájának két különböző kódútvonalát használja ki.

Az első a Chunk.prototype.then, amely szabályozza, hogy a chunkok hogyan viselkednek thenable-ként. Ha az await operátort egy INITIALIZED állapotú chunkra alkalmazzuk, akkor a resolve(chunk.value) metódus hívódik meg. Ha a chunk.value maga is egy thenable (vagyis egy .then() metódussal rendelkező objektum), akkor az await operátor rekurzívan meghívja a chunk.value.then() metódust. Ez a rekurzív feloldás az a mechanizmus, amelyen keresztül egy támadó a végrehajtást egy tetszőleges függvényre irányíthatja át.

A második a parseModelString() függvényben található $B (blob) előtag-kezelő:

A $B esetben a függvény a response._formData.get(response._prefix + id) hívást hajtja végre. Mind az _formData.get, mind az _prefix a darabon belül tárolt _response objektum tulajdonságai. A támadó a prototípuslánc végigjárásával manipulálva ezeket a tulajdonságokat átirányíthatja ezt a hívást, hogy a globális Function konstruktort hívja meg tetszőleges kóddal argumentumként.

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

A gyakorlati alkalmazás lehetséges hatásainak bemutatására ösztöndíjasaink egy olyan koncepcióbizonyító kódot állítottak össze, amely összhangban áll több biztonsági kutatócsoport függetlenül dokumentált elemzéseivel. A támadás két szakaszban zajlik:

1. lépés – A hamis blokk létrehozása:

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

Mivel az 1. mezőt ekkor még nem kapta meg, a React Server létrehoz egy resolve és egy reject visszahívást a függőben lévő hivatkozás kezelésére.

2. szakasz – A kiváltó ok megoldása:

Amint az 1. mező – amely a „$@0” értéket, azaz a 0. darabra mutató nyers hivatkozást tartalmazza – átadásra kerül, a függőben lévő darab feloldódik, és közvetlenül a hamis darabra mutat. Ez elindítja a wakeChunk metódust, amely feldolgozza a sorba állított visszahívásokat, és a hivatkozás feloldása során elindítja a prototípuslánc bejárását. Miután a hamis chunk teljesen feloldódott, a wakeChunk újra meghívásra kerül. Mivel a hamis chunk feloldási visszahívása a Node.js implicit feloldási függvénye, ez meghívja a chunk .then() metódusát, és feloldja annak értékét – végül a Function konstruktoron keresztül létrehozza és végrehajtja a beépített rosszindulatú kódot.

A teljes támadáshoz csupán egyetlen HTTP-kérésre van szükség:

Kutatóink egy ellenőrzött laboratóriumi környezetben sikerült reprodukálniuk a biztonsági rést egy olyan szabványos Next.js-alkalmazás segítségével, amelyet a create-next-app paranccsal generáltak és termelésre kész állapotba hoztak – az alapértelmezett konfigurációban semmilyen módosítást nem végezve. A reprodukció megerősítette, hogy a fent leírt, egyetlen kérésre épülő támadási kód megbízhatóan képes távoli kódvégrehajtást eredményezni.

A React-csapat 2025. december 3-án – azaz a sebezhetőség nyilvánosságra hozatalának napján – kiadta a javításokat. A hibajavított verziók a React 19.0.1, 19.1.2 és 19.2.1 verziószámok alatt érhetők el. A javítás szigorú tulajdonság-érvényesítést ad hozzá a getOutlinedModel() és a reviveModel() függvényekhez, kifejezetten blokkolva az örökölt prototípus-tulajdonságok – beleértve a __proto__, a constructor és a prototype tulajdonságokat – feloldását a felhasználó által vezérelt hivatkozási útvonalakból a Flight hasznos adataiban.

A szervezeteknek haladéktalanul meg kell tenniük a következő intézkedéseket:

1. Frissítsd a React-csomagokat egy javított verzióra (19.0.1, 19.1.2 vagy 19.2.1) az alábbi parancsok futtatásával: npm install react-server-dom-webpack@latest, react-server-dom-parcel@latest vagy react-server-dom-turbopack@latest (a helyzetednek megfelelően).
2. A keretrendszer-függőségek frissítése – A Next.js, a React Router, a Waku és az egyéb érintett keretrendszerek már kiadták a megfelelő javításokat. A verzió-specifikus frissítési útmutatásokat a React-csapat tanácsadó közleményében találja.
3. Ne támaszkodjon kizárólag a tárhelyszolgáltatók által hozott védelmi intézkedésekre – bár olyan szolgáltatók, mint a Vercel, a biztonsági rés nyilvánosságra kerülése után ideiglenes WAF-szabályokat vezettek be, ezek csupán átmeneti megoldások, és nem helyettesítik az alapul szolgáló csomagok frissítését.
4. Ellenőrizze a szerver naplóit az olyan POST-kérelmek tekintetében, amelyek Next-Action fejléccel rendelkeznek, testük pedig multipart/form-data típusú, és tartalmaznak $@ vagy __proto__ mintákat, valamint figyelje az alkalmazásnaplókban a child_process vagy execSync függvények váratlan meghívásait.

OPSWAT , a MetaDefender™ platform saját fejlesztésű technológiája, biztosítja a szükséges átláthatóságot és ellenőrzést az olyan sebezhetőségek elleni védekezéshez, mint a CVE-2025-55182. Mivel ez a hiba nyílt forráskódú npm-csomagokban (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack) található, a szervezeteknek először teljes leltárt kell készíteniük arról, hogy ezek a komponensek hol vannak telepítve az infrastruktúrájukban, mielőtt hatékony javításra lenne lehetőség.