exploitDog

CVE-2025-55183

Опубликовано: 11 дек. 2025

Источник: nvd

CVSS3: 5.3

EPSS Средний

Описание

An information leak vulnerability exists in specific configurations of React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. A specifically crafted HTTP request sent to a vulnerable Server Function may unsafely return the source code of any Server Function. Exploitation requires the existence of a Server Function which explicitly or implicitly exposes a stringified argument.

Ссылки

https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components
Exploit
Vendor Advisory
https://www.facebook.com/security/advisories/cve-2025-55183
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*

Версия от 19.0.0 (включая) до 19.0.2 (исключая)

cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*

Версия от 19.1.0 (включая) до 19.1.3 (исключая)

cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*

Версия от 19.2.0 (включая) до 19.2.2 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 15.0.0 (включая) до 15.0.7 (исключая)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 15.1.0 (включая) до 15.1.11 (исключая)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 15.2.0 (включая) до 15.2.8 (исключая)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 15.3.0 (включая) до 15.3.8 (исключая)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 15.4.0 (включая) до 15.4.10 (исключая)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 15.5.0 (включая) до 15.5.9 (исключая)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

Версия от 16.0.0 (включая) до 16.0.10 (исключая)

cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary58:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary59:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:-:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary0:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary1:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary10:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary11:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary12:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary13:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary14:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary15:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary16:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary17:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary18:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary2:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary3:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary4:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary5:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary6:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary7:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary8:*:*:*:node.js:*:*

cpe:2.3:a:vercel:next.js:16.1.0:canary9:*:*:*:node.js:*:*

EPSS

Процентиль: 96%

0.23425

Средний

5.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2025-55183

CVSS3: 5.3

redhat

3 месяца назад

An information leak vulnerability exists in specific configurations of React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. A specifically crafted HTTP request sent to a vulnerable Server Function may unsafely return the source code of any Server Function. Exploitation requires the existence of a Server Function which explicitly or implicitly exposes a stringified argument.

GHSA-925w-6v3x-g4j4

CVSS3: 5.3

github

3 месяца назад

Source Code Exposure Vulnerability in React Server Components

EPSS

Процентиль: 96%

0.23425

Средний

5.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo