React Server Components-இல் Denial of Service மற்றும் Source Code Exposure
December 11, 2025 அன்று React Team எழுதியது
January 26, 2026 அன்று update செய்யப்பட்டது.
கடந்த வார critical vulnerability-யின் patches-ஐ exploit செய்ய முயன்றபோது, security researchers React Server Components-இல் மேலும் இரண்டு vulnerabilities-ஐ கண்டறிந்து disclosure செய்துள்ளனர்.
இந்த புதிய vulnerabilities Remote Code Execution-ஐ அனுமதிப்பதில்லை. React2Shell-க்கான patch, Remote Code Execution exploit-ஐ mitigate செய்வதில் இன்னும் effective ஆக உள்ளது.
புதிய vulnerabilities இவ்வாறு disclosed செய்யப்பட்டுள்ளன:
- Denial of Service - High Severity: CVE-2025-55184, CVE-2025-67779, மற்றும் CVE-2026-23864 (CVSS 7.5)
- Source Code Exposure - Medium Severity: CVE-2025-55183 (CVSS 5.3)
புதியதாக disclosed செய்யப்பட்ட vulnerabilities-ன் severity காரணமாக உடனடியாக upgrade செய்ய பரிந்துரைக்கிறோம்.
Fixes rollout முழுமையாக முடிந்த பிறகு இந்த vulnerabilities குறித்த மேலும் விவரங்கள் வழங்கப்படும்.
உடனடி action தேவை
இந்த vulnerabilities, CVE-2025-55182-இல் உள்ள அதே packages மற்றும் versions-இல் உள்ளன.
இதில் பின்வரும் packages-ன் 19.0.0, 19.0.1, 19.0.2, 19.0.3, 19.1.0, 19.1.1, 19.1.2, 19.1.3, 19.2.0, 19.2.1, 19.2.2, மற்றும் 19.2.3 அடங்கும்:
Fixes 19.0.4, 19.1.5, மற்றும் 19.2.4 versions-க்கு backport செய்யப்பட்டுள்ளன. மேலுள்ள packages-ல் ஏதேனும் ஒன்றைப் பயன்படுத்தினால், fixed versions-ல் ஏதேனும் ஒன்றுக்கு உடனடியாக upgrade செய்யவும்.
முன்பு போலவே, உங்கள் app-ன் React code server பயன்படுத்தவில்லை என்றால், உங்கள் app இந்த vulnerabilities-ஆல் பாதிக்கப்படாது. React Server Components-ஐ support செய்யும் framework, bundler, அல்லது bundler plugin உங்கள் app பயன்படுத்தவில்லை என்றால், உங்கள் app இந்த vulnerabilities-ஆல் பாதிக்கப்படாது.
பாதிக்கப்பட்ட frameworks மற்றும் bundlers
சில React frameworks மற்றும் bundlers vulnerable React packages மீது depended on, peer dependencies வைத்திருந்தன, அல்லது அவற்றை include செய்திருந்தன. பின்வரும் React frameworks மற்றும் bundlers பாதிக்கப்பட்டுள்ளன: next, react-router, waku, @parcel/rsc, @vite/rsc-plugin, மற்றும் rwsdk.
Upgrade steps-க்கு முந்தைய post-இல் உள்ள instructions-ஐ பார்க்கவும்.
Hosting providers-ன் தற்காலிக பாதுகாப்பு நடவடிக்கைகள்
முன்பு போலவே, temporary mitigations apply செய்ய பல hosting providers உடன் பணிபுரிந்துள்ளோம்.
உங்கள் app-ஐ secure செய்ய இவற்றை மட்டும் நம்பக்கூடாது; உடனடியாக update செய்ய வேண்டும்.
React Native
Monorepo அல்லது react-dom பயன்படுத்தாத React Native users-க்கு, உங்கள் react version package.json-இல் pinned ஆக இருக்க வேண்டும்; கூடுதல் steps தேவையில்லை.
React Native-ஐ monorepo-வில் பயன்படுத்தினால், கீழுள்ள impacted packages install செய்யப்பட்டிருந்தால் அவற்றை மட்டுமே update செய்ய வேண்டும்:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
Security advisories-ஐ mitigate செய்ய இது தேவை; ஆனால் react மற்றும் react-dom update செய்ய வேண்டியதில்லை, எனவே இது React Native-இல் version mismatch error ஏற்படுத்தாது.
மேலும் தகவலுக்கு இந்த issue-ஐ பார்க்கவும்.
அதிக severity: பல சேவை மறுப்பு (DoS) vulnerabilities
CVEs: CVE-2026-23864 Base Score: 7.5 (High) Date: ஜனவரி 26, 2026
React Server Components-இல் கூடுதல் DoS vulnerabilities இன்னும் உள்ளன என்பதை security researchers கண்டுபிடித்தனர்.
Server Function endpoints-க்கு specially crafted HTTP requests அனுப்புவதால் vulnerabilities trigger ஆகின்றன; மேலும் vulnerable code path, application configuration, மற்றும் application code ஆகியவற்றைப் பொறுத்து server crashes, out-of-memory exceptions, அல்லது excessive CPU usage-க்கு வழிவகுக்கலாம்.
ஜனவரி 26 அன்று publish செய்யப்பட்ட patches இந்த DoS vulnerabilities-ஐ mitigate செய்கின்றன.
அதிக severity: சேவை மறுப்பு (DoS)
CVEs: CVE-2025-55184 மற்றும் CVE-2025-67779 Base Score: 7.5 (High)
Security researchers, எந்த Server Functions endpoint-க்கும் malicious HTTP request ஒன்றை craft செய்து அனுப்ப முடியும் என்பதை கண்டுபிடித்துள்ளனர்; அதை React deserialize செய்யும்போது, server process hang ஆகவும் CPU consume செய்யவும் செய்யும் infinite loop ஏற்படலாம். உங்கள் app எந்த React Server Function endpoints-யும் implement செய்யவில்லை என்றாலும், உங்கள் app React Server Components support செய்தால் அது இன்னும் vulnerable ஆக இருக்கலாம்.
இதனால் attacker users product-ஐ access செய்வதை deny செய்யக்கூடிய vulnerability vector உருவாகிறது; மேலும் server environment-இல் performance impact ஏற்படக்கூடும்.
இன்று publish செய்யப்பட்ட patches infinite loop-ஐத் தடுக்குவதன் மூலம் mitigate செய்கின்றன.
நடுத்தர severity: Source Code Exposure
CVE: CVE-2025-55183 Base Score: 5.3 (Medium)
Vulnerable Server Function-க்கு அனுப்பப்படும் malicious HTTP request, எந்த Server Function-ன் source code-ஐயும் unsafe ஆக return செய்யக்கூடும் என்பதை security researcher கண்டுபிடித்துள்ளார். Exploitation-க்கு stringified argument ஒன்றை explicit அல்லது implicit ஆக expose செய்யும் Server Function இருக்க வேண்டும்:
'use server';
export async function serverFunction(name) {
const conn = db.createConnection('SECRET KEY');
const user = await conn.createUser(name); // implicit ஆக stringified, db-இல் leaked
return {
id: user.id,
message: `Hello, ${name}!` // explicit ஆக stringified, reply-இல் leaked
}}Attacker பின்வருவன leak செய்யக்கூடும்:
0:{"a":"$@1","f":"","b":"Wy43RxUKdxmr5iuBzJ1pN"}
1:{"id":"tva1sfodwq","message":"Hello, async function(a){console.log(\"serverFunction\");let b=i.createConnection(\"SECRET KEY\");return{id:(await b.createUser(a)).id,message:`Hello, ${a}!`}}!"}இன்று publish செய்யப்பட்ட patches Server Function source code stringifying ஆகாமல் தடுக்கின்றன.
Timeline
- டிசம்பர் 3: Andrew MacPherson, Vercel மற்றும் Meta Bug Bounty-க்கு leak report செய்தார்.
- டிசம்பர் 4: RyotaK, Meta Bug Bounty-க்கு initial DoS report செய்தார்.
- டிசம்பர் 6: இரு issues-யையும் React team confirm செய்தது; team investigation தொடங்கியது.
- டிசம்பர் 7: Initial fixes உருவாக்கப்பட்டன; React team புதிய patch-ஐ verify செய்து plan செய்யத் தொடங்கியது.
- டிசம்பர் 8: பாதிக்கப்பட்ட hosting providers மற்றும் open source projects-க்கு அறிவிக்கப்பட்டது.
- டிசம்பர் 10: Hosting provider mitigations அமலில் வந்தன; patches verify செய்யப்பட்டன.
- டிசம்பர் 11: Shinsaku Nomura, Meta Bug Bounty-க்கு additional DoS report செய்தார்.
- டிசம்பர் 11: Patches publish செய்யப்பட்டன; CVE-2025-55183 மற்றும் CVE-2025-55184 ஆக publicly disclosed செய்யப்பட்டன.
- டிசம்பர் 11: Missing DoS case internally கண்டுபிடிக்கப்பட்டு patched செய்யப்பட்டது; CVE-2025-67779 ஆக publicly disclosed செய்யப்பட்டது.
- ஜனவரி 26: Additional DoS cases கண்டுபிடிக்கப்பட்டு patched செய்யப்பட்டது; CVE-2026-23864 ஆக publicly disclosed செய்யப்பட்டது.
Attribution
Source Code Exposure-ஐ report செய்த Andrew MacPherson (AndrewMohawk)-க்கும், Denial of Service vulnerabilities-ஐ report செய்த GMO Flatt Security Inc-இலிருந்து RyotaK மற்றும் Bitforest Co., Ltd.-இலிருந்து Shinsaku Nomura-க்கும் நன்றி. Additional DoS vulnerabilities-ஐ report செய்த Winfunc Research-இலிருந்து Mufeed VH, Joachim Viide, GMO Flatt Security Inc-இலிருந்து RyotaK, மற்றும் Tencent Security YUNDING LAB-இலிருந்து Xiangwei Zhang-க்கும் நன்றி.