Merparten av NextJS webserver av senare version har exponerats för ett kritiskt säkerhetshål som kan medge fjärrkörning av executables på serversidan. Hur mycket skada kan detta tänkas medföra?
https://nextjs.org/blog/CVE-2025-66478
A critical vulnerability has been identified in the React Server Components (RSC) protocol. The issue is rated CVSS 10.0 and can allow remote code execution when processing attacker-controlled requests in unpatched environments.
This vulnerability originates in the upstream React implementation (CVE-2025-55182). This advisory (CVE-2025-66478) tracks the downstream impact on Next.js applications using the App Router.
Impact
The vulnerable RSC protocol allowed untrusted inputs to influence server-side execution behavior. Under specific conditions, an attacker could craft requests that trigger unintended server execution paths. This can result in remote code execution in unpatched environments.
Affected Next.js Versions
Applications using React Server Components with the App Router are affected when running:
Next.js 15.x
Next.js 16.x
Next.js 14.3.0-canary.77 and later canary releases
https://www.cert.se/2025/12/kritisk-sarbarhet-i-react.html
En kritisk sårbarhet har identifierats i React Server Components som påverkar React 19, bland annat Next.js.[1] Omedelbar åtgärd krävs, bland annat genom att uppdatera till senaste versionen av React och dess beroenden. [2]
Sårbarheten CVE-2025-55182 har fått en CVSS-klassning på 10.0, den högsta klassningen. [3] Framgångsrikt utnyttjande av sårbarheten innebär att en angripare kan skapa skadliga förfrågningar till slutpunkter (endpoints) som när de deserialiseras av React ger full tillgång till att fjärrköra kod (RCE).
Uppdatering 2025-12-04
CERT-SE har noterat indikationer på att sårbarheten utnyttjas aktivt.
Uppdatering 2025-12-05
Proof-of-concept-kod för att utnyttja sårbarheten finns tillgänglig.
Internetövergripande försök av att utnyttja sårbarheten har observerats. [5]
Uppdatering 2025-12-05
Vi har observerat att det finns IoC:er (Indicator of Compromise) att tillgå. [6, 7, 8]
Påverkade produkter
React Server Components i versionerna 19.0.0, 19.1.0, 19.1.1 och 19.2.0 samt följande paket: react-server-dom-parcel, react-server-dom-turbopack och react-server-dom-webpack. [3, 4]
Rekommendationer
CERT-SE rekommenderar att följa leverantörens rekommendationer samt att undersöka sina system efter tecken på intrång.
https://nextjs.org/blog/CVE-2025-66478
A critical vulnerability has been identified in the React Server Components (RSC) protocol. The issue is rated CVSS 10.0 and can allow remote code execution when processing attacker-controlled requests in unpatched environments.
This vulnerability originates in the upstream React implementation (CVE-2025-55182). This advisory (CVE-2025-66478) tracks the downstream impact on Next.js applications using the App Router.
Impact
The vulnerable RSC protocol allowed untrusted inputs to influence server-side execution behavior. Under specific conditions, an attacker could craft requests that trigger unintended server execution paths. This can result in remote code execution in unpatched environments.
Affected Next.js Versions
Applications using React Server Components with the App Router are affected when running:
Next.js 15.x
Next.js 16.x
Next.js 14.3.0-canary.77 and later canary releases
https://www.cert.se/2025/12/kritisk-sarbarhet-i-react.html
En kritisk sårbarhet har identifierats i React Server Components som påverkar React 19, bland annat Next.js.[1] Omedelbar åtgärd krävs, bland annat genom att uppdatera till senaste versionen av React och dess beroenden. [2]
Sårbarheten CVE-2025-55182 har fått en CVSS-klassning på 10.0, den högsta klassningen. [3] Framgångsrikt utnyttjande av sårbarheten innebär att en angripare kan skapa skadliga förfrågningar till slutpunkter (endpoints) som när de deserialiseras av React ger full tillgång till att fjärrköra kod (RCE).
Uppdatering 2025-12-04
CERT-SE har noterat indikationer på att sårbarheten utnyttjas aktivt.
Uppdatering 2025-12-05
Proof-of-concept-kod för att utnyttja sårbarheten finns tillgänglig.
Internetövergripande försök av att utnyttja sårbarheten har observerats. [5]
Uppdatering 2025-12-05
Vi har observerat att det finns IoC:er (Indicator of Compromise) att tillgå. [6, 7, 8]
Påverkade produkter
React Server Components i versionerna 19.0.0, 19.1.0, 19.1.1 och 19.2.0 samt följande paket: react-server-dom-parcel, react-server-dom-turbopack och react-server-dom-webpack. [3, 4]
Rekommendationer
CERT-SE rekommenderar att följa leverantörens rekommendationer samt att undersöka sina system efter tecken på intrång.
__________________
Senast redigerad av Enterprise 2025-12-08 kl. 15:36.
Senast redigerad av Enterprise 2025-12-08 kl. 15:36.
