Foi descoberta uma falha grave nos React Server Components (RSC) que afeta tanto o React 19 quanto o framework Next.js, permitindo a execução remota de código (RCE) sem a necessidade de autenticação. A vulnerabilidade, identificada como CVE-2025-55182 para React e CVE-2025-66478 no caso do Next.js, pode comprometer servidores Node.js com aplicações aparentemente seguras.
O problema está no processo de desserialização dos dados enviados via protocolo Flight, utilizado para comunicação entre o cliente e o servidor em aplicações com RSC ativado. Um invasor pode explorar essa lógica para executar código arbitrário diretamente no servidor da aplicação, com os mesmos privilégios do processo da aplicação web. O risco é especialmente elevado porque a falha não depende de autenticação ou permissões adicionais. Basta que o endpoint do servidor esteja exposto à internet e aceite requisições Flight, algo comum em configurações padrão do Next.js. As versões afetadas incluem React‑server‑dom nos pacotes webpack, parcel e turbopack entre as versões 19.0.0 e 19.2.0, além de versões 14.3.0-canary e todas as 15.x e 16.x do Next.js. Empresas de segurança apontam que uma parte significativa das aplicações web modernas podem estar vulneráveis, especialmente em ambientes de nuvem mal configurados.
A exploração bem-sucedida pode dar ao invasor controle total sobre o servidor, com possibilidade de acesso a dados sensíveis, modificação de funcionalidades e pivotagem para outros serviços internos. Não há evidência de exploração ativa até o momento, mas o cenário é considerado de alta criticidade. As correções já foram lançadas. Para React, as versões 19.0.1, 19.1.2 e 19.2.1 corrigem o problema. No caso do Next.js, os desenvolvedores devem atualizar para as versões 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ou 16.0.7, dependendo do branch usado. Especialistas recomendam uma revisão imediata das dependências nos projetos React e Next.js, especialmente em ambientes expostos à internet.
