React Server Components-இல் critical security vulnerability

December 3, 2025 அன்று React Team எழுதியது

React Server Components-இல் unauthenticated remote code execution vulnerability உள்ளது.

உடனடியாக upgrade செய்ய பரிந்துரைக்கிறோம்.

நவம்பர் 29 அன்று, React Server Function endpoints-க்கு அனுப்பப்படும் payloads-ஐ React decode செய்யும் முறையில் உள்ள flaw-ஐ exploit செய்வதன் மூலம் unauthenticated remote code execution அனுமதிக்கும் security vulnerability ஒன்றை Lachlan Davidson report செய்தார்.

உங்கள் app எந்த React Server Function endpoints-யும் implement செய்யவில்லை என்றாலும், உங்கள் app React Server Components support செய்தால் அது இன்னும் vulnerable ஆக இருக்கலாம்.

இந்த vulnerability CVE-2025-55182 ஆக disclosed செய்யப்பட்டது; இது CVSS 10.0 என rated செய்யப்பட்டுள்ளது.

இந்த vulnerability பின்வரும் packages-ன் versions 19.0, 19.1.0, 19.1.1, மற்றும் 19.2.0-இல் உள்ளது:

உடனடி action தேவை

Fix, versions 19.0.1, 19.1.2, மற்றும் 19.2.1-இல் introduced செய்யப்பட்டது. மேலுள்ள packages-ல் ஏதேனும் ஒன்றைப் பயன்படுத்தினால், fixed versions-ல் ஏதேனும் ஒன்றுக்கு உடனடியாக upgrade செய்யவும்.

உங்கள் app-ன் React code server பயன்படுத்தவில்லை என்றால், உங்கள் app இந்த vulnerability-ஆல் பாதிக்கப்படாது. React Server Components-ஐ support செய்யும் framework, bundler, அல்லது bundler plugin உங்கள் app பயன்படுத்தவில்லை என்றால், உங்கள் app இந்த vulnerability-ஆல் பாதிக்கப்படாது.

பாதிக்கப்பட்ட frameworks மற்றும் bundlers

சில React frameworks மற்றும் bundlers vulnerable React packages மீது depended on, peer dependencies வைத்திருந்தன, அல்லது அவற்றை include செய்திருந்தன. பின்வரும் React frameworks மற்றும் bundlers பாதிக்கப்பட்டுள்ளன: next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, மற்றும் rwsdk.

இந்த patches-க்கு upgrade செய்வது எப்படி என்பதை கீழே உள்ள update instructions-இல் பார்க்கவும்.

Hosting providers-ன் தற்காலிக பாதுகாப்பு நடவடிக்கைகள்

Temporary mitigations apply செய்ய பல hosting providers உடன் பணிபுரிந்துள்ளோம்.

உங்கள் app-ஐ secure செய்ய இவற்றை மட்டும் நம்பக்கூடாது; உடனடியாக update செய்ய வேண்டும்.

Vulnerability overview

React Server Functions, client ஒன்று server-இல் உள்ள function-ஐ call செய்ய அனுமதிக்கின்றன. React code client மற்றும் server இரண்டிலும் run ஆக உதவ frameworks மற்றும் bundlers பயன்படுத்தும் integration points மற்றும் tools-ஐ React வழங்குகிறது. Client-இல் உள்ள requests-ஐ React, server-க்கு forward செய்யப்படும் HTTP requests-ஆக translate செய்கிறது. Server-இல், React அந்த HTTP request-ஐ function call-ஆக translate செய்து client-க்கு தேவையான data-வை return செய்கிறது.

Unauthenticated attacker, எந்த Server Function endpoint-க்கும் malicious HTTP request ஒன்றை craft செய்யக்கூடும்; அதை React deserialize செய்யும்போது server-இல் remote code execution ஏற்படும். Fix rollout முடிந்த பிறகு vulnerability குறித்த மேலும் விவரங்கள் வழங்கப்படும்.

Update instructions

Note

இந்த instructions புதிய vulnerabilities சேர்க்க update செய்யப்பட்டுள்ளன:

Denial of Service - High Severity: CVE-2025-55184 மற்றும் CVE-2025-67779 (CVSS 7.5)
Source Code Exposure - Medium Severity: CVE-2025-55183 (CVSS 5.3)
Denial of Service - High Severity: ஜனவரி 26, 2026 CVE-2026-23864 (CVSS 7.5)

மேலும் தகவலுக்கு follow-up blog post-ஐ பார்க்கவும்.

ஜனவரி 26, 2026 அன்று update செய்யப்பட்டது.

Next.js

அனைத்து users-மும் தங்கள் release line-இல் உள்ள latest patched version-க்கு upgrade செய்ய வேண்டும்:

npm install next@14.2.35  // for 13.3.x, 13.4.x, 13.5.x, 14.x
npm install next@15.0.8   // for 15.0.x
npm install next@15.1.12  // for 15.1.x
npm install next@15.2.9   // for 15.2.x
npm install next@15.3.9   // for 15.3.x
npm install next@15.4.11  // for 15.4.x
npm install next@15.5.10  // for 15.5.x
npm install next@16.0.11  // for 16.0.x
npm install next@16.1.5   // for 16.1.x

npm install next@15.6.0-canary.60   // for 15.x canary releases
npm install next@16.1.0-canary.19   // for 16.x canary releases

15.0.8, 15.1.12, 15.2.9, 15.3.9, 15.4.10, 15.5.10, 15.6.0-canary.61, 16.0.11, 16.1.5

நீங்கள் Next.js 13-ன் version 13.3 அல்லது அதற்குப் பிறகு உள்ள version (13.3.x, 13.4.x, அல்லது 13.5.x) பயன்படுத்தினால், version 14.2.35-க்கு upgrade செய்யவும்.

நீங்கள் next@14.3.0-canary.77 அல்லது பின்னர் வந்த canary release-இல் இருந்தால், latest stable 14.x release-க்கு downgrade செய்யவும்:

npm install next@14

Latest update instructions-க்கு Next.js blog-ஐவும், கூடுதல் தகவலுக்கு முந்தைய changelog-ஐவும் பார்க்கவும்.

React Router

React Router-ன் unstable RSC APIs பயன்படுத்தினால், பின்வரும் package.json dependencies இருந்தால் அவற்றை upgrade செய்ய வேண்டும்:

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo

Mitigation பற்றி மேலும் அறிய, expo.dev/changelog-இல் உள்ள article-ஐ படிக்கவும்.

Redwood SDK

நீங்கள் rwsdk>=1.0.0-alpha.0-இல் இருப்பதை உறுதிசெய்யவும்

Latest beta version-க்கு:

npm install rwsdk@latest

Latest react-server-dom-webpack-க்கு upgrade செய்யவும்:

npm install react@latest react-dom@latest react-server-dom-webpack@latest

Migration instructions மேலும் அறிய Redwood docs-ஐ பார்க்கவும்.

Waku

Latest react-server-dom-webpack-க்கு upgrade செய்யவும்:

npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

Migration instructions மேலும் அறிய Waku announcement-ஐ பார்க்கவும்.

`@vitejs/plugin-rsc`

Latest RSC plugin-க்கு upgrade செய்யவும்:

npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

`react-server-dom-parcel`

Latest version-க்கு update செய்யவும்:

npm install react@latest react-dom@latest react-server-dom-parcel@latest

`react-server-dom-turbopack`

Latest version-க்கு update செய்யவும்:

npm install react@latest react-dom@latest react-server-dom-turbopack@latest

`react-server-dom-webpack`

Latest version-க்கு update செய்யவும்:

npm install react@latest react-dom@latest react-server-dom-webpack@latest

React Native

Monorepo அல்லது react-dom பயன்படுத்தாத React Native users-க்கு, உங்கள் react version package.json-இல் pinned ஆக இருக்க வேண்டும்; கூடுதல் steps தேவையில்லை.

React Native-ஐ monorepo-வில் பயன்படுத்தினால், கீழுள்ள impacted packages install செய்யப்பட்டிருந்தால் அவற்றை மட்டுமே update செய்ய வேண்டும்:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

Security advisory-ஐ mitigate செய்ய இது தேவை; ஆனால் react மற்றும் react-dom update செய்ய வேண்டியதில்லை, எனவே இது React Native-இல் version mismatch error ஏற்படுத்தாது.

மேலும் தகவலுக்கு இந்த issue-ஐ பார்க்கவும்.

Timeline

நவம்பர் 29: Lachlan Davidson, Meta Bug Bounty வழியாக security vulnerability-ஐ report செய்தார்.
நவம்பர் 30: Meta security researchers confirm செய்து, fix-க்காக React team உடன் பணிபுரியத் தொடங்கினர்.
டிசம்பர் 1: Fix உருவாக்கப்பட்டது; fix-ஐ validate செய்யவும், mitigations implement செய்யவும், fix rollout செய்யவும் பாதிக்கப்பட்ட hosting providers மற்றும் open source projects உடன் React team பணிபுரியத் தொடங்கியது
டிசம்பர் 3: Fix npm-க்கு publish செய்யப்பட்டது மற்றும் CVE-2025-55182 ஆக publicly disclosed செய்யப்பட்டது.

Attribution

இந்த vulnerability-ஐ கண்டறிந்து, report செய்து, fix செய்ய உதவிய Lachlan Davidson-க்கு நன்றி.

PreviousDenial of Service and Source Code Exposure in React Server Components

NextReact Conf 2025 Recap