A equipe de desenvolvimento do React divulgou atualizações para corrigir três novas vulnerabilidades nos React Server Components (RSC), mecanismo usado por aplicações modernas para otimizar o carregamento de conteúdo no lado do servidor. As falhas afetam diretamente a estabilidade e confidencialidade das aplicações, podendo resultar em negação de serviço (DoS) e exposição de partes do código-fonte. As vulnerabilidades foram descobertas durante auditorias técnicas após as correções para o bug crítico React2Shell (CVE-2025-55182), revelado anteriormente.
Embora menos impactantes que a execução remota de código vista naquele caso, os novos problemas representam riscos significativos para aplicações expostas à internet. O primeiro bug, identificado como CVE-2025-55184, permite que um invasor provoque travas nos servidores que utilizam os RSC por meio de mensagens malformadas. O segundo, CVE-2025-67779, surgiu como efeito colateral da tentativa de mitigar a falha anterior e apresenta comportamento semelhante, também causando interrupções de serviço. Já a terceira vulnerabilidade, CVE-2025-55183, é considerada de menor gravidade, mas ainda relevante.
Ela permite que partes do código de funções do servidor sejam expostas ao cliente, violando princípios básicos de separação entre front-end e back-end e abrindo portas para engenharia reversa ou exploração de lógica de negócio. Os problemas afetam diversas versões dos pacotes associados ao RSC, incluindo react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack, em versões entre 19.0.0 e 19.2.1, dependendo do pacote específico. A equipe do React já disponibilizou atualizações corretivas com as versões 19.0.3, 19.1.4 e 19.2.3. A recomendação é que desenvolvedores atualizem seus projetos imediatamente, especialmente em ambientes de produção. Aplicações com renderização híbrida ou suporte a Server Components são particularmente expostas aos riscos descritos.
