Forwarded from SecuriXy.kz
🚨 CVE-2025-55182 - Pre-auth RCE в React Server Components
Уязвимость в RSC (версии 19.0.0, 19.1.0, 19.1.1, 19.2.0) позволяет удаленное выполнение кода без аутентификации через небезопасную десериализацию payload’ов в Server Function endpoints.
Затронутые пакеты:
🚨 CVE-2025-66478 затрагивает Next.js начиная с 14.3.0-canary.77, все ветки 15.x и 16.x до патчей.
Безопасные версии: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7.
🔬 PoC / инструменты:
анализ и эксплойт
сканер для выявления уязвимых инстансов
PoC 1
PoC 2
Лаборатория для тестов
Nuclei templates:
versions.yaml
cve-2025-55182.yaml
Уязвимость в RSC (версии 19.0.0, 19.1.0, 19.1.1, 19.2.0) позволяет удаленное выполнение кода без аутентификации через небезопасную десериализацию payload’ов в Server Function endpoints.
Затронутые пакеты:
react-server-dom-parcel
react-server-dom-turbopack
react-server-dom-webpack
🚨 CVE-2025-66478 затрагивает Next.js начиная с 14.3.0-canary.77, все ветки 15.x и 16.x до патчей.
Безопасные версии: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7.
🔬 PoC / инструменты:
анализ и эксплойт
сканер для выявления уязвимых инстансов
PoC 1
PoC 2
Лаборатория для тестов
Nuclei templates:
versions.yaml
cve-2025-55182.yaml
GitHub
GitHub - Ashwesker/Blackash-CVE-2025-55182: CVE-2025-55182
CVE-2025-55182. Contribute to Ashwesker/Blackash-CVE-2025-55182 development by creating an account on GitHub.
😁10🔥9❤3👍3🤔2