Uma vulnerabilidade de gravidade máxima no React colocou grande parte da internet em risco. O problema, registrado como CVE-2025-55182 e avaliado com pontuação 10.0 no CVSS, permite que atacantes remotos, sem qualquer autenticação, executem código diretamente em servidores vulneráveis, uma das formas mais perigosas de ataque possíveis.
Pesquisadores estimam que cerca de 39% dos ambientes em nuvem possuem instâncias afetadas, tornando o caso especialmente preocupante devido ao uso massivo do React e de frameworks baseados nele, como o Next.js. Especialistas alertam que a exploração em larga escala é considerada “iminente”, já que o ataque exige poucos pré-requisitos e os patches públicos fornecem todas as pistas necessárias para a engenharia reversa.
O que foi afetado
O problema está ligado a pacotes usados pelos React Server Components, presentes nas seguintes versões:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
As versões vulneráveis do React incluem 19.0, 19.1.0, 19.1.1 e 19.2.0. Além disso, frameworks e ferramentas que dependem desses pacotes também são impactados, incluindo:
- Next.js
- React Router (RSC APIs)
- Waku
- @parcel/rsc
- @vitejs/plugin-rsc
- Redwood SDK (rwsdk)
Quem utiliza React apenas no lado do cliente (sem uso de Server Components ou Server Functions) não é afetado. O risco se concentra em aplicações que executam código React no servidor.
Como funciona a vulnerabilidade
O bug está em uma falha de desserialização no processo usado pelo React para decodificar requisições enviadas a endpoints de Server Functions. Um invasor pode criar uma requisição HTTP maliciosa que, ao ser processada pelo servidor, permite a execução arbitrária de código.
Resumidamente, trata-se de um vetor direto de Remote Code Execution (RCE), em que o atacante ganha a capacidade de executar comandos no servidor da aplicação vulnerável — um cenário que pode levar à exposição de dados, controle total da infraestrutura e implantação de malware.
A falha foi identificada pelo pesquisador Lachlan Davidson em 29 de novembro de 2025 e reportada ao programa de recompensas da Meta. Após a confirmação interna, a equipe de segurança trabalhou junto ao time do React e a grandes provedores de hospedagem para desenvolver correções emergenciais.
Em apenas quatro dias, no dia 3 de dezembro, os patches foram disponibilizados publicamente no npm e a vulnerabilidade foi oficialmente divulgada.
Paralelamente, a Vercel, principal mantenedora do Next.js, publicou um alerta próprio e registrou outro identificador para o mesmo problema (CVE-2025-66478), além de liberar correções específicas para diferentes versões do framework.
Atualizações obrigatórias
Os mantenedores do React são categóricos: é necessário atualizar imediatamente para uma das versões corrigidas:
- 19.0.1
- 19.1.2
- 19.2.1
Para usuários de Next.js, versões seguras já foram lançadas em todas as linhas ativas, incluindo:
- next@15.0.5 até next@15.5.7
- next@16.0.7
Outros projetos, como React Router, Waku, Redwood SDK e o plugin RSC do Vite, também exigem atualização combinada de react, react-dom e dos pacotes react-server-dom correspondentes.
Proteções temporárias não são suficientes
Alguns provedores de hospedagem aplicaram mitigações temporárias em nível de infraestrutura. A Cloudflare, por exemplo, afirma que seu Web Application Firewall (WAF) pode bloquear tentativas de exploração em tráfego proxyado.
Ainda assim, os próprios desenvolvedores do React são enfáticos: essas proteções não substituem a atualização do software. Confiar apenas em filtros de rede não elimina o risco de exploração direta.
Dado que plataformas gigantes como Facebook, Instagram, Netflix, Shopify, Airbnb, Walmart e inúmeras aplicações corporativas utilizam React, a vulnerabilidade representa uma ameaça coletiva ao ecossistema web.
Pesquisadores alertam que é apenas questão de tempo até que códigos de exploração públicos circulem amplamente.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!