Imprensa

Fique por dentro da Neture, entenda riscos que podem afetar a segurança de seu negócio e muito mais.

Vulnerabilidade crítica CVE-2025-55182 e CVE-2025-66478 – React e Next.js

5 dezembro 2025

CloudSec

Em 3 de dezembro de 2025, a equipe do React divulgou uma vulnerabilidade de segurança crítica (nível 10, o mais elevado) (CVE-2025-55182) relativa ao uso de suas Server Components.

Pouco depois, o time do Next.js publicou um comunicado reforçando que aplicações construídas com Next.js também estão expostas a essa falha — registrada como CVE-2025-66478 — quando utilizam o “App Router”.

Nossos ambientes não foram afetados

Reiteramos que nossos ambientes não utilizam React e Next.js em nossas arquiteturas de aplicações, portanto, nossos serviços não foram impactados por essa vulnerabilidade.

O que essa vulnerabilidade permite

A falha permite que um atacante remoto, sem necessidade de autenticação, envie requisições HTTP especialmente criadas que exploram a desserialização insegura de dados no protocolo RSC (“Flight”). Isso pode levar à execução remota de código (RCE) no servidor que hospeda a aplicação.

Há relatos de que, em ambientes na nuvem, cerca de 39% das instâncias escaneadas apresentaram versões vulneráveis de React ou Next.js com RSC habilitado.

Versões vulneráveis e atualizações disponíveis

  • React (pacotes RSC como react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack): versões 19.0.0, 19.1.0, 19.1.1 e 19.2.0 são afetadas
  • Next.js: versões 15.x e 16.x (quando usam App Router), bem como builds canary a partir da 14.3.0-canary.77, estão vulneráveis

As versões corrigidas já foram liberadas:

  • React: 19.0.1, 19.1.2 ou 19.2.1
  • Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ou 16.0.7

Nossos clientes

Essa vulnerabilidade representa um risco real para clientes que hospedem aplicações próprias ou usem stacks que envolvam React 19 e Next.js com Server Components.

Por isso, recomendamos fortemente que os times de desenvolvimento e segurança de nossos clientes revisem suas aplicações, verifiquem dependências, e apliquem os patches o quanto antes, se utilizam React/Next.js.

Recomendações para Mitigação

  • Auditar dependências: verificar se há uso de React 19 ou Next.js 15/16 com App Router ou builds canary
  • Atualizar imediatamente para as versões corrigidas de React e Next.js informadas acima
  • Revisar configurações e práticas de segurança, buscando detecção de acesso suspeito ou requisições anômalas, especialmente em APIs/rotas que usam Server Components
  • Consultar times de governança, risco e compliance, avaliando impactos de segurança e continuidade de negócio no contexto das aplicações web expostas

Atualizações

A Cloudflare atualizou seu WAF (Web Application Firewall) com regras novas de bloqueio destas vulnerabilidades, mais informações na fonte oficial: https://blog.cloudflare.com/waf-rules-react-vulnerability/ (em inglês)

Em caso de dúvidas, nossa equipe de atendimento está à disposição.

Imprensa

Esta sessão é dedicada exclusivamente à notícias sobre atualizações de nossos produtos, serviços, plataformas e 'mercado de tecnologia'.

Fique por dentro

Inscreva-se nesta página para receber todas as novidades.

Social

Acesso Rápido

Status dos Serviços Suporte Autoajuda