⚠️ Alerta de Segurança Urgente: Vulnerabilidade Crítica no Ecossistema React
A vulnerabilidade CVE-2025-55182, divulgada oficialmente pela equipe do React, é uma falha de segurança crítica (CVSS 10.0) que permite execução remota de código (RCE) no servidor sem autenticação. Qualquer aplicação usando React Server Components (RSC) ou React Server Functions pode ser afetada. Você pode encontrar o comunicado oficial no blog do React.
Essa vulnerabilidade explora uma falha na forma como o React decodifica os payloads enviados para endpoints de Server Functions.
🔧 Guia de Ação Imediata por Framework
Execute os seguintes comandos na raiz do seu projeto de acordo com a sua stack.
# Para usuários Next.js (mais comum)
# Atualize para a versão corrigida da sua linha de release
npm install next@14.2.35 # para versões 13.3.x, 13.4.x, 13.5.x, 14.x
npm install next@15.0.8 # para versão 15.0.x
npm install next@15.1.12 # para versão 15.1.x
# ... veja o guia oficial para outras versões
# React + Vite (usando plugin-rsc)
npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
# React Router (usando APIs unstable RSC)
npm install react@latest react-dom@latest react-server-dom-webpack@latest
# Projeto React geral (se usar os pacotes)
npm install react@19.0.1 react-dom@19.0.1 react-server-dom-webpack@latest
Importante: Atualize react e react-dom juntos. Não dependa de mitigações temporárias de provedores de hospedagem!
📊 Impacto da Vulnerabilidade & Considerações
| Item | Detalhes |
|---|---|
| ID do CVE | CVE-2025-55182 |
| Pontuação CVSS | 10.0 (CRÍTICA) |
| Versões Afetadas | react, react-dom, react-server-dom-* versões 19.0.0, 19.1.0, 19.1.1, 19.2.0 |
| Versões Corrigidas | 19.0.1, 19.1.2, 19.2.1 (ou 'latest' de cada pacote) |
| Frameworks Afetados | Next.js, React Router, Waku, Vite RSC Plugin, Parcel RSC, etc. |
| NÃO Afetado | Apps puramente CSR sem servidor, bundlers sem suporte a RSC |
Limitações & Cuidados Críticos:
- Cuidado com Monorepo: Se usar React Native em um monorepo, atualizar
react/react-dompode causar erro de versão. Neste caso, atualize apenas os pacotesreact-server-dom-*afetados. - Versões Canary: Se estiver no canal Canary do Next.js, faça downgrade para a última versão estável com patch.
- Detalhes Técnicos Pendentes: Os detalhes completos do vetor de ataque serão divulgados após a distribuição completa do patch. Foque na atualização primeiro.
🚀 Próximos Passos e Dicas Práticas para Devs
- Aja Agora: Verifique o
package.jsonde todos os projetos React em produção para ver se usa uma versão afetada. - Escaneie Dependências: Rode
npm ls react react-dom react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopackpara verificar as versões instaladas. - Teste e Deploy: Faça testes de regressão nas funcionalidades principais após a atualização em um ambiente de dev/staging antes do deploy em produção.
- Aprendizado Contínuo: Este incidente mostra as novas responsabilidades de segurança que vêm com meta-frameworks e integração profunda de server components. Aprofundar seu entendimento sobre os limites servidor-cliente e segurança de serialização é um caminho de aprendizado essencial.
Vamos lá, aplicar patches de segurança sem demora é a melhor defesa! Mantenha seus projetos seguros. 🛡️