Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2025-55184

Опубликовано: 11 дек. 2025
Источник: nvd
CVSS3: 7.5
EPSS Средний

Описание

A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
Версия от 19.0.0 (включая) до 19.0.2 (исключая)
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
Версия от 19.1.0 (включая) до 19.1.3 (исключая)
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
Версия от 19.2.0 (включая) до 19.2.2 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 13.3.0 (включая) до 14.2.35 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 15.0.0 (включая) до 15.0.7 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 15.1.0 (включая) до 15.1.11 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 15.2.0 (включая) до 15.2.8 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 15.3.0 (включая) до 15.3.8 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 15.4.0 (включая) до 15.4.10 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 15.5.0 (включая) до 15.5.9 (исключая)
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
Версия от 16.0.0 (включая) до 16.0.10 (исключая)
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary58:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary59:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary9:*:*:*:node.js:*:*

EPSS

Процентиль: 96%
0.23574
Средний

7.5 High

CVSS3

Дефекты

CWE-502

Связанные уязвимости

redhat логотип

CVE-2025-55184

CVSS3: 7.5
redhat
3 месяца назад

A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.

github логотип

GHSA-2m3v-v2m8-q956

CVSS3: 7.5
github
3 месяца назад

Denial of Service Vulnerability in React Server Components

EPSS

Процентиль: 96%
0.23574
Средний

7.5 High

CVSS3

Дефекты

CWE-502