A equipe do React divulgou uma vulnerabilidade crítica em React Server Components que permite execução remota de código sem autenticação. O alerta recomenda atualização imediata dos pacotes afetados e identifica o problema como CVE-2025-55182, com severidade CVSS 10.0.1

O caso é grave porque atinge uma camada que muitos times passaram a adotar por meio de frameworks, bundlers e integrações, nem sempre de forma explícita. Mesmo uma aplicação que não define diretamente endpoints de React Server Functions pode estar vulnerável se suporta React Server Components por meio da stack usada.

Pacotes afetados exigem resposta rápida

A vulnerabilidade está presente nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 de react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. As correções foram publicadas nas versões 19.0.1, 19.1.2 e 19.2.1. A orientação é objetiva: quem usa qualquer pacote afetado deve atualizar imediatamente.1

O React também lista frameworks e bundlers afetados ou potencialmente afetados porque dependem, incluem ou declaram peer dependencies desses pacotes. Entre eles estão Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc e Redwood SDK. Isso transforma a correção em tarefa de inventário de dependências, não apenas atualização manual de React.

O ponto técnico central está na forma como o React decodifica payloads enviados a endpoints de React Server Functions. Um atacante não autenticado poderia construir uma requisição HTTP maliciosa que, ao ser desserializada pelo React no servidor, resultaria em execução remota de código. Detalhes completos ficam limitados enquanto a correção é distribuída, uma prática comum quando a prioridade é reduzir exploração ativa.

Hosting mitigado não substitui patch

O React informa que trabalhou com provedores de hospedagem para aplicar mitigações temporárias, mas também deixa claro que aplicações não devem depender disso para permanecer seguras. Essa distinção é importante: mitigação de borda pode reduzir exposição, mas não corrige a dependência vulnerável no build, no container ou no servidor.

Para equipes de engenharia, a resposta deve começar por uma busca direta em package.json, lockfiles e SBOMs por react-server-dom-*, Next.js, plugins RSC e frameworks listados. Em seguida, vem atualização da linha compatível, rebuild, deploy e verificação de que a versão corrigida realmente entrou no artefato publicado.

Ambientes monorepo exigem atenção adicional. Uma aplicação pode não parecer RSC no nível do produto, mas carregar pacote vulnerável por dependência transitiva, template antigo ou plugin experimental. Pipelines de CI devem falhar quando versões afetadas forem detectadas, e imagens já publicadas precisam ser reconstruídas.

O incidente também reforça uma discussão mais ampla sobre server components. Ao trazer mais lógica para a fronteira entre cliente e servidor, frameworks ganham performance e ergonomia, mas ampliam a necessidade de análise de desserialização, roteamento, autenticação e limites de execução. Recursos que parecem "de frontend" podem introduzir risco de backend.

React Server Components continua sendo uma direção importante para aplicações modernas, mas o alerta mostra que a operação precisa acompanhar a arquitetura. Dependências de renderização no servidor são parte da superfície crítica. Atualizar rápido, confirmar versões em produção e manter inventário confiável deixam de ser boas práticas genéricas e passam a ser resposta mínima.

  1. React, "Critical Security Vulnerability in React Server Components", 3 dez. 2025.