Nguyễn Tiến Đạt
Intern Writer
Một lỗ hổng bảo mật có mức độ nghiêm trọng tối đa đã được phát hiện trong React Server Components (RSC), cho phép thực thi mã từ xa khi bị khai thác thành công. Lỗ hổng này được định danh là CVE-2025-55182, có điểm CVSS 10.0.
Công ty bảo mật đám mây Wiz nhận định đây là lỗi giải tuần tự hóa logic phát sinh từ việc xử lý payload RSC không an toàn. Điều này cho phép kẻ tấn công chưa xác thực gửi một yêu cầu HTTP độc hại đến bất kỳ Server Function endpoint nào. Khi React giải tuần tự hoá payload, mã JavaScript tùy ý có thể được thực thi trực tiếp trên máy chủ.
Lỗ hổng ảnh hưởng đến các gói npm ở các phiên bản sau:
Ảnh hưởng đến Next.js và các thư viện dùng RSC
Lỗ hổng cũng tác động đến Next.js khi sử dụng App Router, được gán mã CVE-2025-66478 (CVSS 10.0). Các phiên bản bị ảnh hưởng:
Không chỉ React và Next.js, bất kỳ thư viện nào đóng gói RSC cũng có khả năng bị ảnh hưởng, bao gồm: plugin Vite RSC, plugin Parcel RSC, bản xem trước React Router RSC, RedwoodJS và Waku.
Theo Wiz, 39% môi trường đám mây đang sử dụng các phiên bản dễ bị tấn công bởi CVE-2025-55182 hoặc CVE-2025-66478. Do mức độ nghiêm trọng cực cao, người dùng được khuyến cáo cập nhật bản vá càng sớm càng tốt. (thehackernews)
Nguy cơ từ lỗi giải mã RSC và cơ chế giải tuần tự hóa
Theo cảnh báo từ nhóm React, vấn đề đến từ cách React giải mã dữ liệu được gửi tới các điểm cuối của React Server Function, tạo điều kiện cho “thực thi mã từ xa không xác thực”. Ngay cả khi ứng dụng không sử dụng bất kỳ điểm cuối Server Function nào, RSC vẫn có thể trở thành điểm tấn công nếu được hỗ trợ trong hệ thống.
Công ty bảo mật đám mây Wiz nhận định đây là lỗi giải tuần tự hóa logic phát sinh từ việc xử lý payload RSC không an toàn. Điều này cho phép kẻ tấn công chưa xác thực gửi một yêu cầu HTTP độc hại đến bất kỳ Server Function endpoint nào. Khi React giải tuần tự hoá payload, mã JavaScript tùy ý có thể được thực thi trực tiếp trên máy chủ.
Lỗ hổng ảnh hưởng đến các gói npm ở các phiên bản sau:
- react-server-dom-webpack: 19.0, 19.1.0, 19.1.1, 19.2.0
- react-server-dom-parcel: 19.0, 19.1.0, 19.1.1, 19.2.0
- react-server-dom-turbopack: 19.0, 19.1.0, 19.1.1, 19.2.0
Ảnh hưởng đến Next.js và các thư viện dùng RSC
Lỗ hổng cũng tác động đến Next.js khi sử dụng App Router, được gán mã CVE-2025-66478 (CVSS 10.0). Các phiên bản bị ảnh hưởng:
- =14.3.0-canary.77
- =15
- =16
Không chỉ React và Next.js, bất kỳ thư viện nào đóng gói RSC cũng có khả năng bị ảnh hưởng, bao gồm: plugin Vite RSC, plugin Parcel RSC, bản xem trước React Router RSC, RedwoodJS và Waku.
Theo Wiz, 39% môi trường đám mây đang sử dụng các phiên bản dễ bị tấn công bởi CVE-2025-55182 hoặc CVE-2025-66478. Do mức độ nghiêm trọng cực cao, người dùng được khuyến cáo cập nhật bản vá càng sớm càng tốt. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
