A CISA dos EUA adiciona uma falha de Componentes do Servidor Meta React ao seu catálogo de Vulnerabilidades Exploradas Conhecidas

A CISA dos EUA adiciona uma falha de Componentes do Servidor Meta React ao seu catálogo de Vulnerabilidades Exploradas Conhecidas

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) adiciona uma falha nos Componentes do Servidor Meta React ao seu catálogo de Vulnerabilidades Exploradas Conhecidas.

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA)Adicionadoa uma falha nos Componentes do Servidor Meta React, rastreada como CVE-2025-55182 (Pontuação CVSS de 10,0), até seuCatálogo de Vulnerabilidades Exploradas Conhecidas (KEV).

A vulnerabilidade é uma vulnerabilidade de execução remota de código pré-autenticação nas versões 19.0.0, 19.1.0, 19.1.1.1 e 19.2.0, incluindo os seguintes pacotes: react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack. A falha vem do código que desserializa dados de requisições HTTP para endpoints de Função Servidor sem as verificações de segurança adequadas.

“Existe uma vulnerabilidade de execução remota de código pré-autenticação nas versões 19.0.0, 19.1.0, 19.1.1.1 e 19.2.0, incluindo os seguintes pacotes: react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack.” Lê o aviso. “O código vulnerável desserializa de forma insegura as cargas úteis de requisições HTTP para endpoints de Função do Servidor.”

O pesquisador Lachlan Davidson relatou a vulnerabilidade de segurança no React em 29 de novembro. Ele explicou que a decodificação de payload insegura em endpoints de Função Servidor permite a execução de código não autenticado. Aplicativos que utilizam Componentes do Servidor React podem ser expostos mesmo sem endpoints de Função do Servidor.

Versões 19.0.1, 19.1.2e 19.2.1 corrigir a falha.

Amazona Detectado Grupos ligados à China explorando o CVE-2025-55182 (React2Shell) poucas horas após sua divulgação em 3 de dezembro. Os serviços AWS não são afetados, mas clientes que rodam versões afetadas devem agir imediatamente.

De acordo comDiretriz Operacional Vinculativa (BOD) 22-01: Redução do Risco Significativo de Vulnerabilidades Exploradas Conhecidas, as agências FCEB precisam tratar das vulnerabilidades identificadas até o prazo de vencimento para proteger suas redes contra ataques que exploram as falhas do catálogo.

Especialistas também recomendam que organizações privadas revisem oCatálogoe abordar as vulnerabilidades em sua infraestrutura.

A CISA determina que as agências federais corrijam as vulnerabilidades até 26 de dezembro de 2025.

Me siga no Twitter:@securityaffairseFacebookeMastodonte

PierluigiPaganini

(SecurityAffairs–HackingCISA)