# CVE-2025-55182 - React Server Components — Execução Remota de Código por Desserialização > [!critical] P1 — CRÍTICO | CVSS 10.0 (Máximo) | CISA KEV | RCE Pré-Autenticação > Vulnerabilidade crítica de desserialização no React Server Components permite execução de código remoto sem autenticação. CVSS máximo (10.0). Afeta React 19.x e diversas versões do Next.js. **CVSS:** 10.0 (Crítico Máximo) · **Vendor:** Meta/Vercel · **Patch:** Disponível · **CISA KEV:** 2025-12-08 ## Resumo **CVE-2025-55182** é uma vulnerabilidade de execução remota de código (RCE) de pré-autenticação encontrada no React Server Components, afetando as versões 19.0.0, 19.1.0, 19.1.1 e 19.2.0. A falha decorre de desserialização insegura de payloads HTTP enviados para endpoints Server Function (também chamados Server Actions). A vulnerabilidade recebeu pontuação CVSS máxima de **10.0** — indicando ausência total de barreiras para exploração: rede pública, sem autenticação, sem interação do usuário e escopo alterado (impacto além do componente vulnerável). Foi adicionada ao catálogo CISA KEV em dezembro de 2025. **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico — pontuação máxima) - Vetor: Rede, sem autenticação, sem interação, escopo alterado - CISA KEV: Adicionado em 2025-12-08 - Exploração ativa: Confirmada ## Impacto Técnico A falha ocorre na desserialização de objetos recebidos pelo endpoint Server Function do React. Um atacante remoto não autenticado pode: - **Execução de código arbitrário:** executar código no servidor Node.js que hospeda a aplicação React - **Comprometimento total do servidor:** acesso ao sistema de arquivos, variáveis de ambiente, segredos da aplicação - **Roubo de credenciais:** chaves de API, tokens JWT, strings de conexão de banco de dados - **Movimentação lateral:** uso do servidor como pivô para comprometer infraestrutura interna - **Negação de serviço:** crash do processo Node.js e interrupção de operações críticas **Impacto para organizações LATAM/Brasil:** React é o framework front-end mais utilizado no Brasil. Qualquer aplicação usando React 19 com Server Components e Server Actions (especialmente via [[Next.js]]) está potencialmente vulnerável. O risco é elevado dado que versões 19.x foram amplamente adotadas em 2024-2025. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Meta | React (Server Components) | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | Versão corrigida (consultar advisory) | | Vercel | Next.js | 15.0.0–15.0.4 | Versão corrigida | | Vercel | Next.js | 15.1.0–15.1.8 | Versão corrigida | | Vercel | Next.js | 15.2.0–15.2.5 | Versão corrigida | | Vercel | Next.js | 15.3.0–15.3.5 | Versão corrigida | | Vercel | Next.js | 15.4.0–15.4.7 | Versão corrigida | | Vercel | Next.js | 16.0.0–16.0.6 | Versão corrigida | **Não afetado:** React 18.x e versões anteriores (não implementam Server Components/Server Actions). ## Patch e Mitigação **Patch oficial:** - Advisory: [React Security Advisory - CVE-2025-55182](https://github.com/facebook/react/security) - Atualizar para a versão corrigida do React e do framework (Next.js ou equivalente) - Data de lançamento: dezembro 2025 **Como aplicar:** 1. Verificar versão do React: `npm list react` ou `cat package.json | grep react` 2. Atualizar React: `npm update react react-dom` 3. Atualizar Next.js se aplicável: `npm update next` 4. Verificar dependências transitivas que possam fixar versões vulneráveis 5. Reiniciar o servidor da aplicação após atualização **Mitigações temporárias:** - Desabilitar Server Actions se não essenciais para operações - Implementar WAF com regras para detectar payloads de desserialização suspeitos - Restringir endpoints Server Function por IP de origem quando possível - Auditar todas as Server Functions para validação de entrada ## Exploração Ativa **Status atual:** Exploração ativa confirmada — adicionado ao CISA KEV em 2025-12-08 **Evidências:** - CISA KEV: Confirmação de exploração ativa em ambiente real - NVD: Publicado em 2025-12-03 com CVSS 10.0 ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em 2025-12-08. - **Recomendação para o setor privado:** Remediar com urgência — CVSS máximo indica exploração trivial - **Referência:** [CISA KEV - CVE-2025-55182](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 10.0 (Crítico Máximo) | | Vetor de Ataque | Rede (Network) | | Complexidade | Baixa (Low) | | Privilégios Necessários | Nenhum (None) | | Interação do Usuário | Nenhuma (None) | | Escopo | Alterado (Changed) | | Impacto Confidencialidade | Alto (High) | | Impacto Integridade | Alto (High) | | Impacto Disponibilidade | Alto (High) | ## Contexto de Ameaça Desserialização insegura é uma das categorias de vulnerabilidade mais exploradas por atores APT e operadores de ransomware. A combinação de CVSS 10.0 com a popularidade do React torna este CVE altamente relevante para qualquer equipe de segurança. ### TTPs MITRE ATT&CK - [[T1190 - Exploit Public-Facing Application|T1190]] — Exploração de aplicação voltada ao público - [[T1059 - Command and Scripting Interpreter|T1059]] — Execução via interpretador de scripts (Node.js) ## Relevância LATAM/Brasil React é o framework JavaScript dominante no Brasil. Empresas de [[market/sectors/financeiro|financeiro]], [[market/sectors/saude|saúde]], [[market/sectors/tecnologia|tecnologia]] e [[market/sectors/varejo|varejo]] utilizam amplamente React 19 com Server Components em aplicações públicas. O risco de exploração em larga escala é alto dado o volume de aplicações potencialmente vulneráveis. ## IoCs | Tipo | Valor | Fonte | Confiança | |------|-------|-------|-----------| | — | Não disponíveis publicamente | — | — | ## Referências - [NVD - CVE-2025-55182](https://nvd.nist.gov/vuln/detail/CVE-2025-55182) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [React Security Advisory](https://github.com/facebook/react/security/advisories) ## Notas Relacionadas **TTPs relacionadas:** [[T1190 - Exploit Public-Facing Application]] · [[T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[financeiro]] · [[tecnologia]] · [[saude]] · [[varejo]]