CVSS 10.0: критична вразливість React / Next.js - активна експлуатація китайськими APT

Якщо ви використовуєте React Server Components або Next.js App Router - це безпосередньо про вас. CVE-2025-55182 (React2Shell) отримала максимальний рейтинг небезпеки CVSS 10.0. Вразливість дозволяє віддалене виконання коду (RCE) без автентифікації.

Чому це дійсно критично?

Додаток може бути вразливим навіть у випадку, якщо ви не використовуєте серверні функції напряму. Достатньо того, що React Server Components увімкнені за замовчуванням. Експлуатація відбувається через HTTP POST-запити зі спеціальними заголовками next-action або rsc-action-id.

Хто вже атакує?

За даними AWS Security, китайські APT-групи Earth Lamia та Jackpot Panda почали експлуатувати вразливість протягом годин після її публічного розкриття. Зафіксовані масові спроби атак на:

• фінансовий сектор
• логістику
• IT-компанії
• державні установи

Що під загрозою?

• React 19.x
• Next.js 15.x та 16.x (App Router)

Що робити негайно?

• Оновитися до пропатчених версій (AWS Security Bulletin AWS-2025-030)
• Налаштувати WAF-правила для блокування підозрілих POST-запитів
• Перевірити логи на наявність запитів із заголовками next-action / rsc-action-id
• Провести експрес-аудит зовнішнього периметра застосунку

Це класичний приклад того, як modern stack ≠ secure by default. Реакція в перші 24–48 годин критично впливає на наслідки інциденту.