React Server Components в прошлом году были хитом всех конференций. Бесшовный серверный рендеринг, гидратация без лишних настроек — все ждали плавного апгрейда в 2025-й. Но вот удар под дых: 3 декабря команда React обрушила бомбу. CVE-2025-55182. Удалённый запуск кода без аутентификации. CVSS 10.0. Максимум. Полный захват сервера в кармане.
Это не экзотическая ошибка буфера на обочине. Атакующий лепит вредоносный HTTP-запрос к любому эндпоинту React Server Function. Бах — десериализация пропускает произвольный код прямо на вашем сервере. Даже без прямого использования Server Functions. Просто включили React Server Components? Уже в зоне риска.
В React Server Components есть уязвимость удалённого выполнения кода без аутентификации. Обновляйтесь немедленно.
Прямо из объявления команды React. Без прикрас.
Версии 19.0–19.2.0. Патчи в 19.0.1, 19.1.2, 19.2.1. Обычное npm update. А вот последствия — цунами. Next.js — от 13.3.x до 16.x-кандидатов — список патчей прилагается. Нестабильный API RSC в React Router. Waku, Parcel RSC, плагин Vite, RWSDK. Хостеры ввели временные заглушки (не ставьте на них всё).
Ваше Next.js-приложение под прицелом?
Next.js правит развёртываниями React — больше 40% рынка по свежим опросам. Если на 13.3 или новее, бейте npm install [email protected] для веток 13/14. 15.x? Фиксите на 15.0.8–15.5.10. Кандидаты? Откат к стабильным. Команды длинные, пропустите одну — и привет.
Смотрите сами. React Server Components — главная фишка Vercel, полный стек React без клиентского балласта. После React 19 adoption рвануло. Но эта дыра орёт о сыроватости. Атаки на десериализацию? Из каменного века. Вспомните ysoserial для Java десятилетней давности. Слой React для перевода HTTP в функции? Как решето.
А вот мой эксклюзивный ракурс: эхо Log4Shell-хаоса 2021-го. Та Java-библиотека для логов за ночь захватила JVM-мир. Серверные DOM-пакеты React (webpack, turbopack) — то же самое: опциональные серверные плюшки, встроенные в фреймворки нарасхват. Итог? Тихое распространение. Монорепо с React Native? Обновляйте только server-dom. Но кто так сделает.
Фреймворки заметались. Блог Next.js загорелся ченджлогами. Expo, Redwood, Waku — все на патчах. Пользователи React Native в монорепо? Выборочные апдейты, чтоб не разладилось. Хаос, но под контролем — пока.
Рынок вертится быстро. Хайп RSC поднёс Next.js до шёпотов о $2 млрд+ для Vercel. Эта история? Тормозит маховик. Команды, поглядывающие на Remix или Solid (без шуток), могут отшатнуться. Зачем рисковать RCE, если клиентская гидратация рулит? Ждите в опросах Q1 2026 спада RSC на 10–15%.
Почему патч нельзя отложить?
CVSS 10.0 — не преувеличение. Сложность атаки: низкая. Привилегии: ноль. Область: меняется (с клиента бьёт по серверу). Полный разнос конфиденциальности, целостности, доступности. Публичные эндпоинты? Всё кончено. E-commerce на Next.js? Платежи уведут. SaaS-дашборды? Выгрузка данных.
Команда React координировала релиз — детали после патча. Умно. Но в PR приуменьшают масштаб поражения экосистемы. «Без сервера — безопасно». Ага. Но кто в проде крутит чисто клиентский React? Бандлеры вроде Vite, Parcel цепляют RSC-хуки. Пиры тянут уязвимый React.
Пути апдейтов — цирк. Next.js-кандидат на 14.3.0? Откат к стабильному 14. React Router? npm install react@latest react-server-dom-webpack@latest. Waku? Всё на latest. Redwood ведёт по миграциям. Сделать можно. Но в мире yarn workspaces и pnpm? Человеческий фактор.
Суть в том — обещания RSC (колокейтированные компоненты, стриминговые пэйлоады) меняют безопасность на скорость. Риск десериализации усиливается JS-гибкостью а-ля eval. Жирный прогноз: эра React Forget от Meta не забудет. Ждите жёстких аудитов, может, opt-out в Next 17.
Хостинг-гиганты — Vercel, Netlify, Cloudflare — залатали края. По-соседски. Но как говорится, на заглушки не полагайтесь. Один непатченый деплой на Vercel — и сканеры в деле.
Разрабы, сверяйтесь с package.json. Зап
