X

Về chúng tôi

DCSoft – Agency kỹ thuật số hàng đầu, cung cấp giải pháp sáng tạo và tối ưu cho doanh nghiệp.

Liên hệ

  • 61 Nhơn Hoà 11, Đà Nẵng, Việt Nam
  • 098-781-0780
  • dcsoftcomp@gmail.com
  • Làm việc: 8h00 - 17h30 hàng ngày
IT-Tech

Cảnh Báo Quan Trọng: Lỗ Hổng Bảo Mật Nghiêm Trọng Trong React Server Components (CVE-2025-55182)

  • Home
  • Cảnh Báo Quan Trọng: Lỗ Hổng Bảo Mật Nghiêm Trọng Trong React Server Components (CVE-2025-55182)
by:DCSoftTech Editorial Team Tháng 12 5, 2025 0 Comments

Một lỗ hổng Remote Code Execution (RCE) chưa xác thực đã được phát hiện trong React Server Components, ảnh hưởng trực tiếp đến nhiều ứng dụng web hiện đang sử dụng React. Đây là lỗ hổng nghiêm trọng cấp độ CVSS 10.0, yêu cầu nâng cấp ngay lập tức.

Tổng quan về lỗ hổng

Ngày 29/11, chuyên gia bảo mật Lachlan Davidson đã báo cáo một lỗi nghiêm trọng trong cách React giải mã payload gửi đến các endpoint React Server Functions. Điều đáng lo ngại là:

  • Kẻ tấn công không cần xác thực
  • Chỉ cần gửi HTTP request độc hại đến các Server Function endpoint
  • Khi được React deserialize, kẻ tấn công có thể thực thi mã tùy ý trên server (RCE)

Ngay cả khi ứng dụng của bạn không sử dụng React Server Functions, bạn vẫn có thể bị ảnh hưởng nếu ứng dụng hỗ trợ React Server Components.

Xem thông báo chính thức từ React tại:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Các phiên bản React bị ảnh hưởng

Lỗ hổng tồn tại trong các phiên bản:

  • 19.0
  • 19.1.0
  • 19.1.1
  • 19.2.0

Cụ thể trong các gói:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Hành động cần làm ngay

React đã phát hành bản vá trong các phiên bản:

  • 19.0.1
  • 19.1.2
  • 19.2.1

Nếu dự án của bạn đang dùng bất kỳ gói nào ở trên, hãy nâng cấp ngay để bảo vệ hệ thống.

Theo dcsoft & dcsofttech: Ngay cả khi hosting provider của bạn đã áp dụng biện pháp tạm thời, bạn không nên phụ thuộc vào nó. Hãy cập nhật sớm nhất có thể.

Ứng dụng nào không bị ảnh hưởng?

Ứng dụng không dùng server hoặc không sử dụng framework/bundler hỗ trợ React Server Components sẽ không bị ảnh hưởng.

Framework & Bundler bị ảnh hưởng

Các framework phổ biến có chứa hoặc phụ thuộc gói bị lỗi:

  • Next.js
  • React Router
  • Waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

Hướng dẫn cập nhật cho từng framework

🟦 Next.js

Cập nhật theo phiên bản bạn đang sử dụng:

npm install next@15.0.5
npm install next@15.1.9
npm install next@15.2.6
npm install next@15.3.6
npm install next@15.4.8
npm install next@15.5.7
npm install next@16.0.7

Nếu đang dùng canary 14.3.0-canary.77 trở lên, hãy downgrade:

npm install next@14

🟦 React Router

Nếu đang dùng unstable RSC API:

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

🟦 Expo

npm install react@latest react-dom@latest react-server-dom-webpack@latest

🟦 Redwood SDK

npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

🟦 Waku

npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

🟦 Gói lẻ (webpack / parcel / turbopack)

npm install react@latest react-dom@latest react-server-dom-webpack@latest
npm install react@latest react-dom@latest react-server-dom-parcel@latest
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

Timeline xử lý

  • 29/11 – Báo cáo từ Meta Bug Bounty
  • 30/11 – Xác nhận & điều tra
  • 01/12 – Hoàn thiện bản vá
  • 03/12 – Công bố CVE-2025-55182 và phát hành bản vá trên npm

 

Nếu bạn cần dcsofttech hỗ trợ kiểm tra dự án React, đánh giá bảo mật, hoặc nâng cấp hệ thống, vui lòng liên hệ chúng tôi qua website dcsofttech.com.

Categories:

Leave Comment

Tháng 2 2026
H B T N S B C
 1
2345678
9101112131415
16171819202122
232425262728  

© 2024 DCSoft. Thiết kế & phát triển bởi DCSoft.