A vulnerabilidade React Server Components, identificada como CVE-2025-55182, representa uma das falhas mais severas já divulgadas no ecossistema React. Com pontuação CVSS 10.0, ela permite execução remota de código sem autenticação, colocando milhares de aplicações em risco. Neste artigo, você entenderá o impacto, as versões comprometidas e como corrigir a falha imediatamente.
O que é a vulnerabilidade React Server Components?
A vulnerabilidade React Server Components está relacionada à maneira como o React decodifica requisições enviadas para endpoints de React Server Functions. Esses endpoints permitem que o cliente invoque funções no servidor por meio de requisições HTTP.
O problema surge porque um invasor pode enviar uma requisição especialmente manipulada, que ao ser desserializada pelo React, resulta em execução remota de código no servidor.
Tudo isso sem qualquer autenticação.
É como se o atacante conseguisse entrar pela porta dos fundos e ainda usar a sua chave de administrador. Nada elegante, mas definitivamente eficiente — para ele.
Aplicações afetadas pela vulnerabilidade React Server Components
Mesmo que sua aplicação não utilize React Server Functions, ela pode estar vulnerável se oferecer suporte a React Server Components.
A falha afeta as versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos seguintes pacotes:
-
react-server-dom-webpack
-
react-server-dom-parcel
-
react-server-dom-turbopack
Além disso, vários frameworks dependem desses pacotes e também foram impactados:
-
Next.js
-
React Router (APIs RSC experimentais)
-
Waku
-
@parcel/rsc
-
@vitejs/plugin-rsc
-
Redwood SDK (rwsdk)
Hosting providers aplicaram mitigações temporárias, mas elas não substituem a atualização obrigatória.
Impacto da vulnerabilidade React Server Components
A gravidade da falha está no fato de que ela permite:
-
Execução remota de código
-
Sem autenticação
-
Pelo endpoint de Server Functions
-
Com potencial de tomada completa do servidor
Ou seja:
sua aplicação pode ser comprometida mesmo sem o usuário fazer login.
Por isso a CVSS atingiu a pontuação máxima (10.0).
É o equivalente a um alerta vermelho piscando com sirene.
Como corrigir a vulnerabilidade React Server Components
A equipe do React publicou versões corrigidas:
-
19.0 → 19.0.1
-
19.1.0 / 19.1.1 → 19.1.2
-
19.2.0 → 19.2.1
Se sua aplicação utiliza alguma dessas versões, faça upgrade imediato.
Atualizações para frameworks específicos
Next.js (todas as versões)
Atualize conforme sua branch:
Se estiver em 14.3.0-canary.77 ou superior, faça downgrade:
React Router (APIs instáveis RSC)
Redwood SDK
Waku
@vitejs/plugin-rsc
react-server-dom-parcel
react-server-dom-turbopack
react-server-dom-webpack
A vulnerabilidade React Server Components é uma falha crítica que exige atualização imediata. A execução remota de código sem autenticação representa um risco severo para aplicações baseadas em React e frameworks modernos como Next.js e React Router.
Se você utiliza qualquer uma das versões vulneráveis, não adie a correção.
Correções já estão disponíveis e podem ser aplicadas rapidamente.
Manter sua aplicação atualizada é a forma mais eficiente de prevenir ataques, além de te poupar de noites em claro com café e logs intermináveis.