Закрываем свежие уязвимости в ReactServer Components и Next.js

Делимся нашими рекомендациями.

4 декабря 2025 г.

7 минут чтения

Сегодня Meta* и Vercel раскрыли две уязвимости с риском удаленного выполнения кода. Используя их, злоумышленники могут получить доступ к серверу.

Уязвимости были найдены в фреймворке React Server Components (RSC), который ускоряет работы приложений на React благодаря тому, что переносит часть логики на сервер:

Уязвимые версии: React 19 — React 19.2.0
Фикс
Информация на сайте React.dev

А также в Next.js — фреймворке для веб‑разработки, основанном на React:

Уязвимые версии: Next.js 15 — Next.js 16
Фикс
Информация на сайте Nextjs.org

Специалисты по безопасности Yandex Cloud поделились рекомендациями, что можно сделать, чтобы обезопасить свои приложения:

Всем — обновить React до версии 19.2.1, Next.js — до версий 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7.
Пользователям Yandex Smart Web Security — в WAF уже есть правило yars-v0.1.0-id8080234-attack-rce, которое защищает наших клиентов от уязвимости. Активируйте его.
Защита от CVE также появилась в on-premises SolidWall, а обнаружение — в SolidPoint.

Компоненты Yandex Cloud запатчены, поэтому дополнительно делать ничего не нужно.

Если вам нужна дополнительная информация, пожалуйста, напишите на cloudtrust@yandex-team.ru.

Следим за рисками, отражаем атаки, делимся решениями. Всё о безопасности облачной инфраструктуры — практика, кейсы и инсайты от команды Yandex Cloud, которая защищает её каждый день.

*Meta признана экстремистской организацией и запрещена в РФ.

Команда Yandex Cloud

Закрываем свежие уязвимости в ReactServer Components и Next.js

4 декабря 2025 г.

7 минут чтения