Lỗ hổng bảo mật CVE-2025-55182 ảnh hưởng trực tiếp đến React và Next.js, cho phép tấn công thực thi mã từ xa mà không cần xác thực. Nhờ lớp tường lửa ứng dụng vWAF, các hệ thống sử dụng React/NextJS trên GreenNode đã được bảo vệ kịp thời trước nguy cơ tấn công diện rộng.
1. Lỗ hổng bảo mật CVE-2025-55182: RCE cực kỳ nghiêm trọng trong React Server Components
Ngày 29/11, chuyên gia bảo mật Lachlan Davidson phát hiện một lỗ hổng bảo mật quan trọng trong module xử lý deserialization của React và Next.js. Đến ngày 03/12/2025, đội ngũ React đã phát hành cảnh báo chính thức với mã CVE-2025-55182. Chi tiết tham khảo thêm tại đây.
Đây là một lỗ hổng bảo mật thực thi mã từ xa - Remote Code Execution (RCE) không yêu cầu xác thực, tác động trực tiếp tới React Server Components (RSC) – tính năng cốt lõi của React 19 và các framework dựa trên nó, đặc biệt là Next.js (liên quan CVE-2025-66478).
Cách thức hoạt động của lỗ hổng bảo mật
CVE-2025-55182 bắt nguồn từ cơ chế deserialization không an toàn trong giao thức Flight của React Server Components. Khi ứng dụng xử lý các yêu cầu HTTP POST đến các endpoint của Server Function, kẻ tấn công có thể gửi các payload độc hại đã được mã hóa đặc biệt, từ đó chiếm quyền thực thi mã trên máy chủ.
Ngay cả khi ứng dụng không sử dụng Server Function, chỉ cần kích hoạt tính năng RSC, hệ thống vẫn có thể bị khai thác.
Theo đánh giá của NVD, điểm CVSS 10.0 (Critical) cho thấy mức độ rủi ro tối đa:
- Tấn công từ xa.
- Không cần quyền truy cập.
- Không cần tương tác người dùng.
- Ảnh hưởng toàn diện đến bảo mật – toàn vẹn – sẵn sàng của hệ thống.
2. vWAF – “Tường lửa” chủ động giúp bảo vệ hệ thống trước CVE-2025-55182
Nhận thấy mức độ nguy hiểm của lỗ hổng bảo mật, GreenNode (tiền thân là VNG Cloud) đã lập tức cập nhật bộ rules tường lửa ứng dụng vWAF nhằm chặn các mẫu tấn công khai thác lỗ hổng RSC.
Các rule tường lửa được cập nhật
vWAF hiện có khả năng:
- Phát hiện và chặn các yêu cầu POST chứa payload serialized bất thường.
- Lọc các tham số JSON, module-call có dấu hiệu exploit.
- Chặn các truy cập đến endpoints có cấu trúc tương tự server-function độc hại.
- Nhờ đó, mọi khách hàng đang kích hoạt tường lửa vWAF đều được bảo vệ ngay cả khi chưa cập nhật phiên bản React/NextJS.
3. Khuyến nghị bảo mật: Nâng cấp phiên bản là giải pháp triệt để
Dù tường lửa vWAF giúp giảm thiểu rủi ro khai thác trong giai đoạn khẩn cấp, việc nâng cấp lên phiên bản đã vá lỗi vẫn là phương án an toàn nhất.
Phiên bản bị ảnh hưởng:
Package | Affected versions |
React | 19.0, 19.1, 19.2 |
Next.js | 14.3.0-canary, 15.x, 16.x (App Router) |
Phiên bản đã được vá:
Package | Patched versions |
React | 19.0.1, 19.1.2, 19.2.1 |
Next.js | 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 |
Đội ngũ bảo mật GreenNode sẽ tiếp tục theo dõi biến thể tấn công mới và cập nhật rule tường lửa vWAF ngay khi cần thiết.
Nếu bạn đang chạy ứng dụng React/NextJS, hãy kiểm tra ngay phiên bản và kích hoạt dịch vụ tường lửa thế hệ mới vWAF để đảm bảo an toàn tạm thời trước khi nâng cấp.
4. Bắt đầu sử dụng tường lửa vWAF ngay hôm nay
Dịch vụ tường lửa thế hệ mới vWAF không chỉ là công cụ bảo vệ – đó là đối tác đáng tin cậy giúp doanh nghiệp bạn tập trung vào tăng trưởng mà không lo lắng về an ninh mạng hay các lỗ hổng bảo mật. Để biết thêm chi tiết hoặc hỗ trợ triển khai, hãy truy cập VNG Cloud Portal hoặc liên hệ đội ngũ hỗ trợ 24/7 của chúng tôi.
Chúng tôi cam kết mang đến sự an toàn hàng đầu cho hệ sinh thái đám mây Việt Nam. Cảm ơn bạn đã tin tưởng sử dụng các sản phẩm của GreenNode.