A equipe do React divulgou novas vulnerabilidades de segurança nos React Server Components (RSC), seguindo o patch crítico de RCE anterior. Essas vulnerabilidades, categorizadas como Negação de Serviço (DoS) e Exposição de Código Fonte, representam riscos significativos para aplicações que usam RSC. Ação imediata é necessária para todos os projetos afetados. A divulgação oficial pode ser encontrada no blog do React como fonte primária.
🔥 Resumo das Vulnerabilidades e Versões Afetadas
Os novos problemas divulgados se enquadram em duas categorias: ataques de DoS de alta gravidade e um vazamento de código fonte de média gravidade.
| Tipo de Vulnerabilidade | ID do CVE | Pontuação CVSS | Gravidade | Impacto Principal |
|---|---|---|---|---|
| Negação de Serviço (DoS) | CVE-2025-55184, CVE-2025-67779 | 7.5 | Alta | Travar processo do servidor, uso excessivo de CPU |
| Negação de Serviço (DoS) | CVE-2026-23864 | 7.5 | Alta | Queda do servidor, exceções de falta de memória |
| Exposição de Código Fonte | CVE-2025-55183 | 5.3 | Média | Vazamento do código fonte da Server Function |
Pacotes e Versões Afetados:
As versões 19.0.0 até 19.2.3 do react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack são vulneráveis.
Versão Segura para Atualização Imediata: Atualize para a versão 19.0.4, 19.1.5 ou 19.2.4 e superiores.
🛡️ Guia de Ação para Desenvolvedores
-
Verifique Dependências e Atualize:
// Exemplo de package.json { "dependencies": { // Atualize para uma dessas versões seguras imediatamente. "react-server-dom-webpack": "^19.2.4", "react-server-dom-turbopack": "^19.2.4" // react e react-dom podem permanecer nas versões atuais para evitar erros de incompatibilidade. } }Execute
npm updateouyarn upgradeno seu terminal. -
Usuários de Frameworks: Se você usa Next.js, React Router, Waku ou outros frameworks afetados, certifique-se de que eles também estão atualizados para as versões mais recentes.
-
Usuários do React Native: Nenhuma ação é necessária se você não usa um monorepo. Em um monorepo, atualize apenas os pacotes de servidor vulneráveis listados acima.
-
Mitigações de Provedores de Hospedagem: Provedores principais como a Vercel aplicaram mitigações temporárias, mas você não deve depender delas. Aplique os patches diretamente.
💡 Conclusão e Principais Lições
Essas vulnerabilidades destacam os riscos associados à desserialização de dados não confiáveis nos Server Components. Os vetores de DoS podem prejudicar a disponibilidade do servidor, tornando a aplicação imediata dos patches a etapa mais crítica.
Embora aplicativos que não usam Server Components não sejam afetados, existe risco indireto se seu framework ou bundler suporta RSC. Após aplicar os patches, fortaleça o monitoramento do seu servidor para detectar anomalias rapidamente. Lembre-se, segurança é um processo contínuo, não uma atualização única. Fique atento! 🔒