Dne 3. prosince 2025 byla veřejně odhalena kritická bezpečnostní zranitelnost, která se týká React Server Components a frameworku Next.js.
O co jde?
Byla objevena zranitelnost nazvaná React2Shell (CVE-2025-55182, CVSS 10.0), která postihuje React 19 a frameworky jako Next.js. Jedná se o chybu v deserializaci dat v protokolu Flight, kterou React Server Components používají pro komunikaci mezi serverem a klientem. Zranitelnost umožňuje neautentifikovanému útočníkovi vzdálené spuštění libovolného kódu na serveru pomocí jediného HTTP požadavku.
Původně existovalo samostatné CVE-2025-66478 pro Next.js, ale bylo označeno jako duplikát CVE-2025-55182.
Nutná akce
Je-li vaše aplikace postižena, musíte okamžitě aktualizovat. Neexistuje žádné jiné řešení – aktualizace je jediná možnost.
Pokud byla vaše aplikace online a neopravená k 4. prosinci 2025 13:00 PT, důrazně doporučujeme rotovat všechny secrets a API klíče, které aplikace používá.
Kdy je vaše aplikace zranitelná?
Aktualizovat byste měli, pokud používáte:
- Next.js 15.x nebo 16.x – všechny aplikace s App Routerem běžící na těchto verzích jsou postiženy
- Next.js 14.3.0-canary.77 a novější canary verze – musíte downgradovat na stable 14.x nebo upgradovat na opravenou verzi
- React 19 s React Server Components – verze 19.0, 19.1.0, 19.1.1 a 19.2.0 balíčků react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack
- Další frameworky – React Router s RSC API, Waku, RedwoodSDK, Parcel RSC plugin, Vite RSC plugin
Nejste postiženi, pokud používáte:
- Next.js 13.x
- Next.js 14.x stable (mimo canary)
- Pages Router (i na Next.js 15/16)
- Edge Runtime
- React bez Server Components
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Opravené verze
Next.js:
- 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7
- 16.0.7
- Canary: 15.6.0-canary.58, 16.1.0-canary.12
React:
- 19.0.1, 19.1.2, 19.2.1
Jak aktualizovat?
Automatická aktualizace Next.js:
npx fix-react2shell-nextTento nástroj od Vercelu zkontroluje vaši verzi a provede aktualizaci na správnou opravenou verzi.
Manuální aktualizace:
npm install next@15.0.5 # pro 15.0.x
npm install next@15.1.9 # pro 15.1.x
npm install next@15.2.6 # pro 15.2.x
npm install next@15.3.6 # pro 15.3.x
npm install next@15.4.8 # pro 15.4.x
npm install next@15.5.7 # pro 15.5.x
npm install next@16.0.7 # pro 16.0.xJak otestovat zranitelnost?
Pro otestování, zda je váš web zranitelný, můžete použít scanner od Assetnote:
https://github.com/assetnote/react2shell-scanner
# Instalace
pip install -r requirements.txt
# Scan jedné URL
python3 scanner.py -u https://example.com
# Bezpečný scan bez spuštění kódu
python3 scanner.py -u https://example.com --safe-check
# Scan více URL ze souboru
python3 scanner.py -l hosts.txt -t 20 -o results.jsonPoznámka: Volba --safe-check používá detekci pomocí vedlejších indikátorů (HTTP 500 s konkrétním error digestem) bez spuštění kódu na cílovém serveru.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
Co dělat, když jsem byl napadený?
- Okamžitě aktualizujte aplikaci na opravenou verzi.
- Rotujte všechny secrets, API klíče a přístupové údaje.
- Zkontrolujte logy na podezřelou aktivitu.
- Zkontrolujte přes příkaz htop, zda se na serveru nenachází proces s těžením kryptoměny.
- Zvažte migraci na nový server – v Zákaznickém portálu můžete zahájit migraci VPS s týdnem provozu obou serverů zdarma.
Další informace
Potřebujete pomoc s aktualizací? Kontaktujte naši technickou podporu. Bezpečnost vašich aplikací je pro nás prioritou.
