Kriti?ne bezbednosne ranjivosti u Next.js i React - Decembar 2025
Nikola Filipovski
Full-Stack Web Developer
Posete: 82
Lajkovi: 3
Kritične bezbednosne ranjivosti u Next.js i React
U decembru 2025. objavljene su kritične bezbednosne ranjivosti u Next.js i React Server Components, koje su uticale na više verzija i zahtevale hitnu pažnju programera.
Next.js: CVE-2025-66478
Next.js je prijavio kritičnu ranjivost identifikovanu kao CVE-2025-66478. Problem je omogućavao potencijalno neautentifikovano izvršavanje koda na udaljenom serveru iskorišćavanjem grešaka u server-side rukovanju Next.js-a. Programeri su snažno savetovani da odmah pređu na ispravljene verzije kako bi zaštitili svoje aplikacije. Pogođene verzije uključivale su više izdanja u Next.js 15 i ranim Next.js 16 linijama. Ispravka omogućava pravilnu validaciju i sanitizaciju server-side zahteva i zatvara sigurnosni propust.
- Hitna akcija: nadograditi na najnoviju ispravljenu verziju u okviru vaše trenutne linije izdanja
- Svi korisnici Next.js 14.3.0-canary ili kasnijih should preći na stabilnu 14.x dok se ne reši
- Ranjivost je uticala na server-side rukovanje, čak i za aplikacije koje direktno ne koriste određene server funkcije
React: CVE-2025-55182
React Server Components takođe su imali kritičnu bezbednosnu ranjivost (CVE-2025-55182) koja je omogućavala neautentifikovano izvršavanje koda na udaljenom serveru. Greška je postojala u načinu na koji React dekodira podatke poslate na React Server Function endpoint-e. Čak i aplikacije koje eksplicitno ne koriste React Server Functions mogle su biti pogođene ako podržavaju React Server Components.
- Pogođeni paketi: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack
- Težina: CVSS 10.0 kritično - najviši nivo na skali od 0 do 10
- Hitna ispravka: nadograditi React, React DOM i povezane server pakete na ispravljene verzije
- Hosting provajderi su primenili privremene mere, ali za punu sigurnost je potrebna nadogradnja
Uticaj i preporuke
Obe ranjivosti naglašavaju važnost redovnog ažuriranja zavisnosti i praćenja server-side framework-a radi bezbednosnih rizika. Programeri koji koriste Next.js i React Server Components treba da:
- Odmah ažuriraju na najnovije ispravljene verzije
- Pregledaju korišćenje server-side endpoint-a kako bi ograničili izloženost
- Primene standardne bezbednosne prakse kao što su validacija unosa, kontrola pristupa i monitoring
- Testiraju implementacije nakon nadogradnje da osiguraju efikasnost svih sigurnosnih zakrpa
Ignorisanje ovih ažuriranja može omogućiti napadačima da izvrše proizvoljan kod na serverima, čime se potencijalno ugrožavaju korisnički podaci i integritet aplikacije. Praksa sa fokusom na bezbednost je od suštinskog značaja u modernom web razvoju, posebno sa server-driven framework-ima.
React.js pogođene verzije
- 19.0
- 19.1.0
- 19.1.1
- 19.2.0
Pogođeni paketi su:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Ispravke su uvedene u verzijama 19.0.1, 19.1.2 i 19.2.1. Ako koristite bilo koju od navedenih verzija ili paketa, odmah nadogradite na ispravljene verzije.
Next.js pogođene verzije
- Next.js 15.x
- Next.js 16.x
- Next.js 14.3.0-canary.77 i kasnija canary izdanja
Ranjivost je potpuno rešena u sledećim ispravljenim Next.js verzijama:
- 15.0.5
- 15.1.9
- 15.2.6
- 15.3.6
- 15.4.8
- 15.5.7
- 15.6.0-canary.58
- 16.0.7
Ove verzije uključuju poboljšanu implementaciju React Server Components.
Zaključak
Decembarske ranjivosti u Next.js i React iz 2025. snažno podsećaju na evolutivne rizike u modernim web framework-ima. Programeri moraju brzo primeniti zakrpe kako bi osigurali da njihovi server-side delovi bezbedno obrađuju zahteve.
Praćenje zvaničnih bezbednosnih izveštaja i primena rigoroznih praksi nadogradnje i testiranja ostaje najefikasniji način zaštite aplikacija od novih pretnji.
Izvori:
Next.js Security Advisory CVE-2025-66478 |
React Server Components Vulnerability