A hibát működésbe hozó támadók akár teljes irányítást szerezhetnek a sebezhető szerverek felett, anélkül hogy hitelesítésre vagy jogosultságra lenne szükségük.
Egy újonnan felfedezett biztonsági rés alapjaiban rengette meg a modern webfejlesztési és felhőbiztonsági ökoszisztémát. A React2Shell névre keresztelt sérülékenység – hivatalosan CVE-2025-55182 (React) és CVE-2025-66478 (Next.js) – maximális, 10.0 CVSS súlyossági besorolást kapott, és alapértelmezett beállítások mellett távoli, jogosulatlan kódfuttatást (RCE) tesz lehetővé.
A hibát működésbe hozó támadók akár teljes irányítást szerezhetnek a sebezhető szerverek felett, anélkül hogy hitelesítésre vagy jogosultságra lenne szükségük. Ez az egyik legsúlyosabb sérülékenység a modern JavaScript-ökoszisztéma történetében.
🔍 Mi az a React2Shell, és hogyan működik?
A sérülékenység központjában a React Server Components (RSC) architektúra és annak belső kommunikációs protokollja, a Flight áll. Az RSC lehetővé teszi a szerver-oldali renderelést és az alkalmazáslogika szerveren történő futtatását.
Normál esetben a böngésző elküldi az RSC-hez kapcsolódó „payloadot” a szervernek, amely azt:
- deszerializálja,
- értelmezi,
- végrehajtja.
A probléma az, hogy ez a deszerializálás nem ellenőrzi megfelelően az adat szerkezetét. Egy támadó képes olyan rosszindulatú HTTP-kérést küldeni, amelyben a Flight-payload önkényes JavaScript-kódként kerül végrehajtásra a szerveren.
Nincs szükség:
- bejelentkezésre,
- sessionre,
- JWT-re,
- jogosultságra.
Csak egyetlen HTTP-kérésre.
A legsúlyosabb rész:
👉 a teljesen alapértelmezett Next.js / React 19 projekt is sebezhető, még akkor is, ha a fejlesztő nem használ explicit „szerverfüggvényeket”.
🌍 A sérülékenység hatása: miért érint ilyen sok projektet?
Az érintett csomagok:
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Ezek szerepelnek a React 19.0.0 – 19.2.0 közötti verzióiban.
A sérülékenység továbbgyűrűzik olyan rendszerekbe is, amelyek ezekre építenek:
- Next.js 15.x és 16.x
- több 14.x canary build
- RSC-alapú Vite, Parcel, RedwoodSDK, Waku és más keretrendszerek
A Wiz felhőbiztonsági cég szerint a felhőkörnyezetek 39%-ában találtak érintett komponenseket.
Ez becslések szerint milliószámra érint weboldalakat, SaaS rendszereket, vállalati backendeket.
⚠️ Miért különösen veszélyes a React2Shell?
1. Teljesen jogosulatlan távoli kódfuttatás (RCE)
A támadó bárhonnan képes kódot futtatni a szerveren.
2. Az alapértelmezett beállítások is sebezhetőek
A legtöbb fejlesztő nem is tud arról, hogy RSC fut a háttérben.
3. Óriási az ökoszisztéma mérete
A React és a Next.js a modern webfejlesztés gerince.
4. Egyszerűen kihasználható
Egyetlen HTTP-kérés elég – a biztonsági kutatók szerint közel 100%-os megbízhatósággal.
5. Következmények
- adatlopás
- adatbázis-hozzáférés
- szerver kompromittálása
- tartós backdoor telepítése
- további oldalak fertőzése (supply chain támadások)
Joggal nevezik a JavaScript-ökoszisztéma egyik legsúlyosabb hibájának.
🛠️ Mit tettek eddig, és mit kell azonnal megtenni?
A hibát 2025. november 29-én jelentették, a React és a Next.js csapatok pedig néhány napon belül patch-et adtak ki (dec. 3).
✔️ React javítások:
- 19.0.1
- 19.1.2
- 19.2.1
✔️ Next.js javítások:
- 15.0.5
- 15.1.9
- 15.2.6
- 15.3.6
- 15.4.8
- 15.5.7
- 16.0.7
✔️ Mit kell tenned MOST?
- Azonnal frissítsd a React / Next.js verziókat.
- Ellenőrizd a package.json és lockfile verziókat.
- Auditáld az összes RSC-képes plugint és bundlert.
- Alkalmazz WAF-szűrést publikus szervereken.
- Monitorozd a szerverlogokat ismeretlen POST / Flight-payloadok után.
A biztonsági szakértők szerint a valódi támadások hamarosan megkezdődhetnek, ha még nem indultak el.
🧭 Mit jelent ez a web számára?
A React2Shell nem csak egy hiba — alapvető tervezési hibát tárt fel az RSC protokollban.
Üzenete a fejlesztőknek:
- a dependency-higiénia elengedhetetlen,
- rendszeres audit és gyors patch-elés kötelező.
Üzenete a felhőszolgáltatóknak:
- nem elég a WAF,
- a függőségek automatizált szkennelése is szükséges.
Üzenete a felhasználóknak:
- a szolgáltatók kényszerfrissítései átmeneti fennakadásokat okozhatnak,
- de a támadás kockázata jóval nagyobb.
🔚 Következtetés: ha Reactet vagy Next.js-t használsz — azonnal frissíts!
Ha alkalmazásod:
- React 19.x-et,
- Next.js App Routert,
- vagy bármilyen RSC-kompatibilis plugint használ,
→ nagy valószínűséggel sebezhető.
A React2Shell az elmúlt évek egyik legfontosabb figyelmeztetése:
a modern webes ökoszisztéma egyre kényesebb, és a biztonságot a fejlesztőknek és az üzemeltetőknek egyaránt komolyan kell venniük.
