Centro Nacional de Cibersegurança lança mais um alerta de vulnerabilidade

O Centro Nacional de Cibersegurança (CNCS) lançou um novo alerta de vulnerabilidade, desta vez para o React Server Components. As vulnerabilidades críticas CVE-2025-55182 e CVE-2025-66478 (duplicado) dizem respeito à mesma falha de desserialização insegura no protocolo “Flight” do React Server Components.

Estas falhas afetam várias aplicações, nomeadamente:

• React-server-dom-tubopack: 19.0.0, 19.1.0, 19.1.1 e 19.2.0;
• React-server-dom-parcel: 19.0.0, 19.1.0, 19.1.1 e 19.2.0;
• React-server-dom-webpack: 19.0.0, 19.1.0, 19.1.1 e 19.2.0;
• Next.js: a partir de 14.3.0-canary.77 (inclusive), 15.x e 16.x (App Router).

O CNCS também alerta que as frameworks ou bibliotecas que incluam a implementação do react-server podem ser afetadas.

Quando explorada com sucesso, esta vulnerabilidade permite a execução remota de código sem necessidade de autenticação, através do envio de pedidos HTTP/HTTPS especialmente criados.

A recomendação é atualizar para as versões corrigidas (19.0.1, 19.1.2 e 19.2.1 nos casos do reac-server-dom-turbopack, react-server-dom-parcel e react-server-dom-webpack; e 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 e 16.0.7 no Next.js). Se não for possível atualizar, o Centro Nacional de Cibersegurança recomenda limitar ou desativar temporariamente as funcionalidades do React Server Components acessíveis diretamente a partir da Internet, bloquear padrões conhecidos de exploração do React Server Components nos sistemas de defesa e a monitorização de logs para detetar tentativas de exploração.