Autor: Wojciech Ciemski

Wprowadzenie do problemu / definicja luki

Zespół Reacta opublikował poprawki dla dwóch nowych klas podatności w React Server Components (RSC), które umożliwiają atak typu Denial-of-Service (DoS) oraz ujawnienie skompilowanego kodu źródłowego funkcji serwerowych. Wydanie tych łatek nastąpiło po ubiegłotygodniowej łatce krytycznej luki RCE „React2Shell” (CVE-2025-55182). Poprzednie wersje poprawek okazały się częściowo niepełne, stąd konieczna jest ponowna aktualizacja do najnowszych wydań RSC.

---

W skrócie

• Nowe CVE:
  • CVE-2025-55184 (DoS, CVSS 7.5) – niekompletna poprawka; uzupełniona jako CVE-2025-67779.
  • CVE-2025-67779 (DoS, CVSS 7.5) – finalizuje fix na DoS.
  • CVE-2025-55183 (wyciek kodu, CVSS 5.3).
• Dotyczy pakietów: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack w liniach 19.0.x, 19.1.x, 19.2.x do wersji wskazanych niżej. Zalecane wersje: 19.0.3, 19.1.4, 19.2.3.
• Frameworki zależne (m.in. Next.js App Router) wymagają aktualizacji do wersji ogłoszonych przez vendorów (tabela niżej).
• Te dwie nowe luki nie umożliwiają RCE – łatka na React2Shell pozostaje skuteczna.

---

Kontekst / historia / powiązania

3 grudnia 2025 r. zespół Reacta ujawnił krytyczną lukę CVE-2025-55182 (CVSS 10.0) pozwalającą na nieautoryzowane RCE przez błędną deserializację ładunków RSC. Szybko wypuszczone patche zostały przyjęte przez ekosystem (np. Next.js), ale jak to często bywa po głośnym CVE, badacze znaleźli warianty – tym razem skutkujące DoS i wyciekiem kodu.
The Hacker News potwierdza, że nowe luki zidentyfikowano podczas prób obejścia wcześniejszych poprawek, a wykorzystanie oryginalnego RCE w środowiskach produkcyjnych zostało już odnotowane, co dodatkowo podnosi priorytet aktualizacji.

---

Analiza techniczna / szczegóły luki

1) DoS przez deserializację ładunku RSC – CVE-2025-55184 oraz CVE-2025-67779

• Wektor: specjalnie przygotowane żądanie HTTP do dowolnego endpointu Server Functions w aplikacji obsługującej RSC.
• Skutek: nieskończona pętla podczas deserializacji po stronie serwera → zawieszenie procesu i blokada dalszych żądań (wyczerpanie CPU / workerów).
• Status poprawek: pierwotna łatka dla CVE-2025-55184 okazała się niepełna, dlatego opublikowano CVE-2025-67779 z uzupełnieniem fixu. Wersje bezpieczne: 19.0.3 / 19.1.4 / 19.2.3.

2) Ujawnienie skompilowanego kodu funkcji serwerowych – CVE-2025-55183

• Wektor: spreparowane żądanie HTTP do podatnej Server Function, która jawnie lub niejawnie „stringifikuje” argument.
• Skutek: odpowiedź może zawierać skompilowany kod źródłowy innej Server Function – w tym potencjalnie tajne wartości zakodowane w kodzie (np. „sekret” w łańcuchu przekazywanym do klienta lub inlined przez bundler). Zespół podkreśla, że zmienne środowiskowe w runtime (np. process.env.SECRET) nie są bezpośrednio dotknięte – ryzyko dotyczy treści, które realnie trafiają do bundla/łańcucha znaków.

Wersje dotknięte i zależności

• Dotknięte wersje pakietów: dla DoS i wycieku – 19.0.0–19.2.2 z wyjątkami opisanymi przez zespół; finalne poprawki w 19.0.3 / 19.1.4 / 19.2.3.
• Dotknięte frameworki/bundlery: Next.js (App Router), React Router (RSC), Waku, Parcel RSC, @vite/plugin-rsc, Redwood SDK i inne korzystające z RSC.

---

Praktyczne konsekwencje / ryzyko

• Dostępność: DoS może skutecznie „wyłączyć” usługę HTTP (zawieszenie procesu serwera). W środowiskach „serverless” może to windować koszty (piki CPU / cold starty).
• Poufność/IP: wyciek skompilowanego kodu Server Functions może ujawnić reguły biznesowe lub sekrety twardo osadzone w kodzie (np. klucze testowe), jeśli zostały w niego wbudowane.
• Łańcuch supply-chain: podatność jest „upstreamowa” (w samym React RSC), więc „rozlewa się” na frameworki. Wymagana jest koordynowana aktualizacja zarówno pakietów RSC, jak i frameworków (np. Next.js).

---

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe aktualizacje pakietów RSC

Zaktualizuj do 19.0.3 / 19.1.4 / 19.2.3 odpowiednio dla Twojej linii wersyjnej:

# przykład
npm install react-server-dom-webpack@19.2.3 react@latest react-dom@latest
npm install react-server-dom-parcel@19.2.3
npm install react-server-dom-turbopack@19.2.3

(W razie monorepo/React Native – aktualizuj wyłącznie pakiety RSC, bez podbijania react/react-dom.)

2) Next.js (App Router) – wersje „fixed”

Zespół Next.js publikuje precyzyjne docelowe wersje (dla poszczególnych linii), np. 14.2.35, 15.0.7, 15.1.11, 15.2.8, 15.3.8, 15.4.10, 15.5.9, 16.0.10, a dla canary odpowiednio 15.6.0-canary.60 / 16.1.0-canary.19. Zalecane jest użycie narzędzia:

npx fix-react2shell-next

które automatycznie podniesie wersje według matrycy bezpieczeństwa. Uwaga: Pages Router nie jest podatny, ale aktualizacja nadal jest rekomendowana.

3) Twarde zasady bezpieczeństwa kodu

• Nie osadzaj sekretów w kodzie źródłowym (dotyczy zwłaszcza funkcji serwerowych); używaj zmiennych środowiskowych i sejfów sekretów.
• Przejrzyj miejsca, gdzie argumenty funkcji są stringifikowane lub mogą trafić do odpowiedzi – minimalizuj echo danych użytkownika.
• Weryfikuj build produkcyjny (tree-shaking/inlining bundlera może nieoczekiwanie włączyć wartości do artefaktów).

4) Ochrony doraźne (do czasu wdrożenia poprawek)

• Rate-limiting / circuit-breaking na endpointach Server Functions.
• WAF/filtry żądań pod kątem anomalii w ładunkach RSC (niestandardowe typy/pola).
• Monitoruj CPU/worker saturation i HTTP 5xx/timeouty jako wczesny sygnał DoS.
  (React współpracował z dostawcami hostingu nad tymczasowymi mitigacjami, ale to nie zastępuje aktualizacji).

5) Walidacja po aktualizacji – szybka checklista

• npm ls react-server-dom-* → potwierdź 19.0.3/19.1.4/19.2.3.
• Dla Next.js: npx fix-react2shell-next → sprawdź zgodność z tabelą wersji.
• Testy smoke dla:
  • obsługi błędnych ładunków RSC (brak wieszania procesu),
  • odpowiedzi Server Functions (czy nie zwracają fragmentów kodu).

---

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• RCE (CVE-2025-55182) vs DoS/Leak (CVE-2025-55184/67779/55183):
  • RCE dawało pełne wykonanie kodu po stronie serwera bez autoryzacji.
  • DoS „tylko” unieruchamia proces;
  • Leak może ujawnić logikę biznesową lub twardo osadzone tajne wartości – to ryzyko reputacyjne i compliance, ale nie jest to pełne przejęcie jak w RCE.
  • Łatka na RCE pozostaje skuteczna, jednak musisz zaktualizować ponownie z powodu niekompletnego fixu DoS.

---

Podsumowanie / kluczowe wnioski

• Dwie nowe luki w React Server Components umożliwiają DoS oraz wyciek skompilowanego kodu.
• Zaktualizuj teraz do 19.0.3 / 19.1.4 / 19.2.3 oraz do zalecanych wersji Next.js (App Router).
• Nie trzymaj sekretów w kodzie; sprawdź, czy bundler nie wstrzykuje wartości do odpowiedzi.
• Traktuj to jako kolejny etap cyklu po-incydentowego po React2Shell – to normalne, że po dużym CVE pojawiają się warianty.

---

Źródła / bibliografia

1. React Blog – Denial of Service and Source Code Exposure in React Server Components (11 grudnia 2025) – oficjalne omówienie luk, wersje fixed i timeline. (React)
2. React Blog – Critical Security Vulnerability in React Server Components (3 grudnia 2025) – opis i wytyczne dot. RCE (CVE-2025-55182) oraz sekcja zaktualizowana o nowe CVE. (React)
3. Next.js Blog – Next.js Security Update: December 11, 2025 – matryca wersji App Router, narzędzie npx fix-react2shell-next, informacja o niekompletnym fixie i CVE-2025-67779. (Next.js)
4. The Hacker News – New React RSC Vulnerabilities Enable DoS and Source Code Exposure (12 grudnia 2025) – przegląd i kontekst eksploitacji w świecie rzeczywistym. (The Hacker News)

Wprowadzenie do problemu / definicja luki

12 grudnia 2025 r. amerykańska CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) lukę CVE-2025-58360 w OSGeo GeoServer — błąd XXE (XML External Entity) możliwy do wykorzystania bez uwierzytelnienia. Oznacza to potwierdzone, realne nadużycia w środowiskach produkcyjnych i pilną konieczność aktualizacji.

W skrócie

• CVE-2025-58360 (CVSS: wysoki) — XXE w operacji WMS GetMap na endpointzie /geoserver/wms, podatność bez uwierzytelnienia.
• Wersje podatne: linie 2.25.x ≤ 2.25.5 oraz 2.26.0–2.26.1 (inne gałęzie przed łatami).
• Wersje naprawione: 2.25.6, 2.26.2, 2.27.0, 2.28.0/2.28.1.
• Status zagrożenia: CISA: aktywne wykorzystanie; kanadyjskie Cyber Centre: „eksploit istnieje w naturze”.
• Termin dla agencji FCEB: do 1 stycznia 2026 r. (wymóg z komunikatu o wpisie do KEV).

Kontekst / historia / powiązania

GeoServer był już celem głośnych nadużyć — w 2024 r. krytyczne RCE CVE-2024-36401 doprowadziło do incydentów w infrastrukturze rządowej USA. Obecny przypadek XXE potwierdza, że usługi OGC (WMS/WFS) są atrakcyjnym wektorem ataku i wymagają rygorystycznej walidacji wejścia oraz twardych konfiguracji parserów XML.

Analiza techniczna / szczegóły luki

Sedno błędu: GeoServer akceptuje dane XML w żądaniach WMS GetMap i niewystarczająco ogranicza możliwość definiowania zewnętrznych encji XML. Atakujący może wstrzyknąć DTD/encje wskazujące na zasoby lokalne lub zdalne. Brak uwierzytelnienia powoduje, że atak jest pre-auth.

Skutki techniczne potwierdzone przez projekt:

• Odczyt plików z systemu plików serwera (np. /etc/passwd, klucze, konfiguracje).
• SSRF do sieci wewnętrznej (np. do metadanych chmury, usług intranetowych).
• DoS przez wyczerpywanie zasobów parsera.

Zakres dotkniętych pakietów (wg komunikatów projektu): obrazy docker.osgeo.org/geoserver oraz artefakty Maven org.geoserver.web:gs-web-app i org.geoserver:gs-wms.

Wersje z poprawkami:
Projekt wydał łatki w kilku gałęziach: 2.25.6, 2.26.2, 2.27.0, a następnie w linii 2.28 (0 i 1). Te wydania zawierają m.in. poprawki bezpieczeństwa oraz wzmacniają polityki CSP i izolację plików (sandbox).

Uwaga nt. rozbieżności źródeł: zapisy NVD wskazują naprawę m.in. w 2.26.3, lecz komunikaty projektu potwierdzają łatę w 2.26.2 — w analizie preferujemy dane producenta.

Praktyczne konsekwencje / ryzyko

• Ekspozycja danych: wyciek sekretów konfiguracyjnych → przejęcia dalszych systemów.
• Pivoting przez SSRF: skanowanie/atakowanie hostów wewnętrznych i usług chmurowych.
• Zakłócenia usług GIS: parsowanie złośliwych encji może wywołać DoS.
• Ryzyko regulacyjne: wpis do KEV oznacza, że SOC/IR powinny traktować to jako priorytet P1.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja GeoServer do jednej z wersji naprawionych (2.25.6 / 2.26.2 / 2.27.0 / 2.28.0+). Dla linii 2.28 zalecana jest 2.28.1. Zaktualizuj także powiązane komponenty (GeoTools, GeoWebCache) zgodnie z komunikatami projektu.
2. Jeśli nie możesz patchować od ręki:
   • Tymczasowo zablokuj/ogranicz przyjmowanie żądań WMS POST z Content-Type: application/xml/text/xml na warstwach narażonych / publicznych.
   • Rozważ WAF z regułami blokującymi DTD (<!DOCTYPE), odwołania SYSTEM i ENTITY w payloadach WMS.
   • Wystaw WMS tylko przez reverse proxy z inspekcją treści i limitem wielkości żądań. (Dobre praktyki dla XXE).
3. Twarda konfiguracja parserów XML w usługach pomocniczych: wyłącz external general/parameter entities, DTD, włącz secure processing (jeśli własne rozszerzenia przetwarzają XML). (Good practice uzupełniająca zalecenia projektu i CVE).
4. Segmentacja i egress control: ogranicz wyjścia z hosta GeoServer (aby utrudnić SSRF do sieci wewnętrznej i chmury).
5. Hunting / detekcja:
   • Logi żądań z nietypowymi POST /geoserver/wms zawierającymi GetMap i XML/DTD.
   • Wzorce w treści: <!DOCTYPE, <!ENTITY, SYSTEM, file:///, http(s)://169.254.169.254.
   • Korelacja z błędami parsera XML i skokami zużycia CPU/RAM.
6. Weryfikacja obrazów/kontenerów: zaktualizuj obrazy docker.osgeo.org/geoserver do wersji zawierających łatę.
7. Zgodność z KEV: jeżeli podlegasz wytycznym FCEB, dopilnuj remediacji do 1 stycznia 2026 r.

Różnice / porównania z innymi przypadkami

• CVE-2025-58360 (XXE) vs CVE-2024-36401 (RCE): XXE daje dostęp do plików/SSRF/DoS, ale nie jest bezpośrednim RCE — mimo to, w połączeniu z odczytem kluczy/konfiguracji może prowadzić do przejęcia systemu. RCE z 2024 r. był natychmiastowo wykorzystywany do trwałej obecności (web-shelle, narzędzia ofensywne), co pokazuje, jak szybko atakujący pivotują po publikacji poprawek.

Podsumowanie / kluczowe wnioski

• Luka CVE-2025-58360 w GeoServer to pre-auth XXE w WMS GetMap, aktywnie wykorzystywana i formalnie wpisana do CISA KEV.
• Aktualizacja jest najlepszą i wymaganą ścieżką — wersje 2.25.6 / 2.26.2 / 2.27.0 / 2.28.0/2.28.1 zawierają poprawki.
• Do czasu patchowania stosuj kompensacje: blokady WMS XML/DTD, WAF, segmentację, monitoring logów.
• Traktuj usługę GIS jak krytyczną bramę danych — kontroluj wejścia XML i egress, aby zminimalizować skutki SSRF/XXE.

Źródła / bibliografia

• GitHub Security Advisory (projekt GeoServer) — opis błędu XXE w GetMap, CVE-2025-58360. (GitHub)
• GeoServer 2.26.2 — ogłoszenie wydania z informacją o naprawie CVE-2025-58360. (geoserver.org)
• GeoServer 2.28.1 — ogłoszenie wydania, lista poprawek (m.in. CVE-2025-58360). (geoserver.org)
• NVD — karta CVE-2025-58360 (CVSS, informacje o wersjach). (NVD)
• Canadian Centre for Cyber Security — advisory dot. GeoServer; „exploit exists in the wild”. (Canadian Centre for Cyber Security)
• (Kontekst) The Hacker News — informacja o wpisie do KEV i terminie FCEB. (The Hacker News)