CVE-2025-55182: Lỗ hổng Deserialization nghiêm trọng ảnh hưởng trực tiếp đến React và Next.js

Lỗ hổng CVE-2025-55182 đạt điểm CVSS 10.0, ảnh hưởng trực tiếp đến React và Next.js. Tìm hiểu để có biện pháp phòng tránh.

CVE-2025-55182: Lỗ hổng Deserialization nghiêm trọng ảnh hưởng trực tiếp đến React và Next.js

CVE-2025-55182: Lỗ hổng Deserialization nghiêm trọng ảnh hưởng trực tiếp đến React và Next.jsLink to heading

Lỗ hổng bảo mật CVE-2025-55182 gây ra tác động trực tiếp lên các khung phát triển giao diện người dùng React và nền tảng Next.js. Khai thác lỗ hổng này có thể dẫn đến một cuộc tấn công thực thi mã từ xa nguy hiểm, đặc biệt là kẻ tấn công có thể thực hiện hành vi này mà không cần bất kỳ bước xác thực nào. 

Tổng quan về lỗ hổng bảo mật CVE-2025-55182Link to heading

Phát hiện và cảnh báo chính thứcLink to heading

Vào ngày 29/11/2025, chuyên gia bảo mật Lachlan Davidson đã công bố việc tìm thấy một lỗ hổng bảo mật cực kỳ quan trọng nằm trong module chịu trách nhiệm xử lý deserialization của React và các framework phát triển dựa trên nó, điển hình là Next.js. Sau đó, đến ngày 03/12/2025, đội ngũ phát triển React đã chính thức phát hành cảnh báo về lỗ hổng này, được gán mã định danh là CVE-2025-55182.

Bản chất của lỗ hổngLink to heading

Đây là một lỗ hổng bảo mật thực thi mã từ xa (Remote Code Execution - RCE). Điều đáng lo ngại là nó không yêu cầu bất kỳ bước xác thực nào từ phía kẻ tấn công.

Lỗ hổng này tác động trực tiếp đến React Server Components (RSC) - một tính năng nền tảng và cốt lõi được giới thiệu trong phiên bản React 19 và các framework sử dụng kiến trúc này. Next.js là một trong những framework bị ảnh hưởng nặng nề nhất vì vốn đã liên quan đến một mã lỗ hổng khác là CVE-2025-66478.

Cơ chế khai thác lỗ hổng bảo mậtLink to heading

CVE-2025-55182 xuất phát từ việc áp dụng một cơ chế deserialization không an toàn trong giao thức gọi là "Flight" được sử dụng bởi React Server Components. Khi ứng dụng tiếp nhận và xử lý các yêu cầu HTTP POST nhắm đến các endpoint của Server Function, kẻ tấn công có thể lợi dụng kẽ hở này.

Bằng cách gửi một payload độc hại đã được mã hóa theo một định dạng đặc biệt, kẻ tấn công có khả năng chiếm quyền thực thi mã trên máy chủ đang chạy ứng dụng.

Thậm chí, mức độ rủi ro còn mở rộng hơn ngay cả đối với các ứng dụng không hề sử dụng Server Function, chỉ cần tính năng RSC được kích hoạt, hệ thống vẫn hoàn toàn có thể bị khai thác và tấn công.

Mức độ nghiêm trọngLink to heading

Theo đánh giá chính thức từ NVD (National Vulnerability Database), lỗ hổng này nhận được điểm CVSS tối đa là 10.0 (Critical), phản ánh mức độ rủi ro cực kỳ nghiêm trọng:

  • Tấn công từ xa: Có thể bị khai thác qua mạng Internet mà không cần tiếp cận vật lý.
  • Không cần quyền truy cập: Kẻ tấn công không cần có tài khoản hay bất kỳ quyền hợp lệ nào.
  • Không cần tương tác người dùng: Việc khai thác diễn ra tự động mà không đòi hỏi người dùng phải nhấp vào liên kết hay tải tệp.
  • Ảnh hưởng toàn diện: Lỗ hổng này đe dọa toàn bộ ba trụ cột bảo mật – tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống.

Các phiên bản đang bị ảnh hưởngLink to heading

Người dùng cần đặc biệt lưu ý kiểm tra các phiên bản đang sử dụng. Dưới đây là danh sách chi tiết các gói và phiên bản cụ thể đang nằm trong tầm ảnh hưởng của lỗ hổng bảo mật:

Package 

Affected versions 

React 

19.0, 19.1, 19.2 

Next.js 

14.3.0-canary, 15.x, 16.x (App Router) 

Các phiên bản đã được vá lỗiLink to heading

Để đảm bảo an toàn tuyệt đối, các nhà phát triển nên ưu tiên chuyển đổi ứng dụng của mình sang một trong các phiên bản đã được vá lỗi sau:

Package 

Patched versions 

React 

19.0.1, 19.1.2, 19.2.1 

Next.js 

14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 

Khuyến nghị cho nhà phát triểnLink to heading

Để giảm thiểu rủi ro và đảm bảo hệ thống an toàn tuyệt đối, nhà phát triển nên thực hiện ngay:

Cập nhật lên phiên bản đã được vá lỗi

  • Đây là giải pháp nhanh nhất và hiệu quả nhất.
  • Đảm bảo đồng bộ giữa React và Next.js để tránh lỗi tương thích.

Kiểm tra lại toàn bộ cấu hình RSC

  • Tắt RSC tạm thời nếu dự án không thực sự cần tính năng này.
  • Rà soát lại luồng xử lý của Server Functions.

Bổ sung các lớp bảo vệ

  • WAF (Web Application Firewall)
  • Hạn chế endpoint public không cần thiết
  • Giám sát log hệ thống để phát hiện các hành vi bất thường

Kiểm tra các thành phần liên quan trong CI/CD

  • Đảm bảo môi trường build sử dụng đúng phiên bản đã vá.
  • Tránh nguy cơ tái triển khai phiên bản lỗi trong pipeline cũ.

Kết luậnLink to heading

CVE-2025-55182 là lỗ hổng nghiêm trọng ảnh hưởng trên diện rộng đến React, Next.js và các ứng dụng sử dụng React Server Components. Với khả năng thực thi mã từ xa mà không cần xác thực, lỗ hổng này đặt hệ thống vào tình trạng rủi ro cao nếu không được xử lý kịp thời. Các doanh nghiệp, lập trình viên và đội ngũ kỹ thuật cần nâng cấp phiên bản ngay lập tức và áp dụng các biện pháp bảo vệ bổ sung để đảm bảo an toàn cho hệ thống.

Xem thêm các bài viết nổi bật khác của System443 để không bỏ lỡ bất kỳ thông tin quan trọng nào!

Contact background

Bạn muốn nhận tư vấn về các dịch vụ của System443

Đội ngũ chuyên gia giàu kinh nghiệm của chúng tôi luôn sẵn sàng hỗ trợ bạn!

Mascot contact
Contact now