Bảo mật
React2Shell (CVE-2025-55182): Vì sao video nói phải cập nhật React/Next.js ngay?
Video cảnh báo lỗ hổng bảo mật nghiêm trọng React Server Components (React2Shell, CVE-2025-55182) cho phép thực thi mã từ xa không cần xác thực và yêu cầu các ứng dụng dùng React Server Components hoặc Next.js App Router cập nhật ngay.
💡Điểm chính của bài viết
- Video cảnh báo lỗ hổng bảo mật nghiêm trọng React Server Components (React2Shell, CVE-2025-55182) cho phép thực thi mã từ xa không cần xác thực và yêu cầu các ứng dụng dùng React Server Components hoặc Next.js App Router cập nhật ngay.
Nguồn ảnh: khung hình trích từ video người dùng tải lên snaptik.vn_7580000932474178836.mp4, khoảng đầu video. Ảnh minh họa cảnh báo phải cập nhật React/Next.js ngay.
Tóm tắt ngắn
Nội dung video đang nói về một lỗ hổng bảo mật cực kỳ nghiêm trọng trong React Server Components (RSC), thường được cộng đồng gọi là React2Shell, mã định danh CVE-2025-55182. Theo cảnh báo chính thức từ React, đây là một lỗ hổng remote code execution (RCE) không cần xác thực, nghĩa là trong điều kiện phù hợp, kẻ tấn công có thể gửi một yêu cầu độc hại và khiến máy chủ thực thi mã ngoài ý muốn.[1][2]
Điều làm video trở nên đáng chú ý là nó không chỉ nói “có lỗi”, mà nhấn mạnh đúng điều quan trọng nhất: nếu ứng dụng của bạn dùng React Server Components hoặc App Router của Next.js, bạn phải cập nhật ngay. React nêu rõ rằng các gói bị ảnh hưởng gồm react-server-dom-webpack, react-server-dom-parcel, và react-server-dom-turbopack ở các phiên bản React 19.0.0, 19.1.0, 19.1.1, và 19.2.0.[1]
Video đang nói về điều gì?
Nói đơn giản, video đang kể về một tình huống như sau:
- React và Next.js ngày càng làm nhiều việc phía server hơn.
- Để làm được điều đó, React Server Components sử dụng một cơ chế truyền tải dữ liệu giữa client và server.
- Trong cơ chế đó, có một lỗi xử lý payload.
- Nếu payload bị chế tạo theo cách đặc biệt, máy chủ có thể hiểu sai dữ liệu và đi đến việc thực thi hành vi nguy hiểm.
NVD mô tả nguyên nhân ở mức khái quát là mã dễ bị lỗi deserialize payload từ các HTTP request gửi tới Server Function endpoints.[2]
Một cách kể dễ hiểu
Hãy tưởng tượng bạn có một quầy tiếp nhận hồ sơ.
Bình thường, nhân viên ở quầy chỉ nhận đơn, đọc nội dung, rồi chuyển tiếp đúng nơi. Nhưng trong trường hợp này, quy trình tiếp nhận có một lỗi rất nặng: thay vì chỉ “đọc hồ sơ”, người tiếp nhận có thể vô tình “làm theo chỉ dẫn” được giấu bên trong hồ sơ đó.
Đó chính là điều khiến React2Shell đáng sợ.
Ứng dụng tưởng như chỉ đang nhận một request bình thường, nhưng nếu request được chế tạo đủ tinh vi, nó có thể khiến server làm điều mà đáng lẽ nó không bao giờ được phép làm. Vì vậy React gọi đây là unauthenticated remote code execution — thực thi mã từ xa mà thậm chí không cần đăng nhập trước.[1]
Nguồn ảnh: khung hình trích từ video người dùng tải lên snaptik.vn_7580000932474178836.mp4, phần giữa video. Ảnh minh họa đoạn video dẫn người xem tới hướng dẫn cập nhật.
Vì sao nó nghiêm trọng?
Có 4 lý do lớn:
1. Mức độ nghiêm trọng rất cao
React công bố CVE-2025-55182 với điểm CVSS 10.0, tức mức nghiêm trọng tối đa trong nhiều hệ thống chấm điểm phổ biến.[1]
2. Không cần đăng nhập trước
Đây không phải kiểu lỗi cần tài khoản admin hay cần nội bộ mới khai thác được. React mô tả rõ đây là unauthenticated RCE.[1]
3. Ảnh hưởng tới hệ sinh thái lớn
React cho biết không chỉ các gói lõi bị ảnh hưởng, mà các framework/bundler xây dựng trên cơ chế này cũng bị liên đới, trong đó có Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc, và RedwoodSDK.[1]
4. Không nên trông chờ mitigations tạm thời
React nói rõ rằng họ đã phối hợp với một số hosting provider để áp dụng các biện pháp giảm thiểu tạm thời, nhưng không nên phụ thuộc vào các biện pháp đó thay cho cập nhật.[1]
Những ai cần đặc biệt lo lắng?
Bạn nên kiểm tra ngay nếu thuộc một trong các nhóm sau:
- Dùng Next.js App Router.
- Dùng React Server Components.
- Dùng các gói
react-server-dom-*bị nêu trong advisory. - Dùng framework/bundler có hỗ trợ RSC.
- Có hệ thống production public-facing chạy trên React 19 và có phần xử lý server-side theo mô hình mới.
Ngược lại, React cũng nói rõ: nếu ứng dụng React của bạn không dùng server, hoặc không dùng framework/bundler/plugin hỗ trợ React Server Components, thì bạn không bị ảnh hưởng bởi lỗ hổng này.[1]
Next.js bị ảnh hưởng như thế nào?
Theo Next.js, các ứng dụng dùng App Router với React Server Components bị ảnh hưởng. Trong advisory tiếp theo, Next.js còn công bố thêm các lỗi liên quan như CVE-2025-55183 (lộ source code của Server Functions trong một số điều kiện) và CVE-2025-55184 / CVE-2025-67779 (DoS), đồng thời nhấn mạnh rằng bản vá cho React2Shell vẫn phải được áp dụng.[3]
Next.js cũng nói rõ:
- Pages Router không bị ảnh hưởng trực tiếp, nhưng vẫn nên nâng cấp lên bản đã vá.[3]
- Không có workaround đáng tin cậy; hành động bắt buộc là upgrade lên bản đã vá.[3]
Cần làm gì ngay bây giờ?
Nếu bạn dùng React
React yêu cầu nâng cấp ngay lên các bản đã vá của các gói bị ảnh hưởng. Trong advisory gốc, React cho biết bản vá đã có trong các nhánh sửa lỗi tương ứng, và phần hướng dẫn cập nhật về sau tiếp tục được cập nhật thêm khi có các CVE liên quan.[1]
Nếu bạn dùng Next.js
Đừng chỉ nhìn con số xuất hiện trong video, vì hướng dẫn version có thể đã thay đổi theo các advisory tiếp theo. Ở bản cập nhật chính thức của React blog (cập nhật 26/01/2026), phần hướng dẫn hiện nêu người dùng Next.js nên cập nhật lên bản vá mới nhất trong đúng release line của mình, ví dụ 14.2.35, 15.0.8, 15.1.12, 15.2.9, 15.3.9, 15.4.11, 15.5.10, 16.0.11, 16.1.5 hoặc canary phù hợp.[4]
Checklist nên làm ngay
- Kiểm kê app nào đang dùng RSC / App Router.
- Xác định version
react,react-dom,next, và các góireact-server-dom-*. - Cập nhật theo advisory mới nhất.
- Redeploy production.
- Rà soát log bất thường trong thời gian chưa vá.
- Nếu nghi ngờ bị khai thác, xem xét xoay vòng secret/token và điều tra thêm.
Nguồn ảnh: khung hình trích từ video người dùng tải lên snaptik.vn_7580000932474178836.mp4, phần demo ở nửa sau video. Ảnh chỉ mang tính minh họa cho rủi ro của request độc hại, không phải tài liệu khai thác chính thức.
Điều gì trong video là đúng, và điều gì cần hiểu cẩn thận?
Điều video nói đúng
- Đây là vấn đề rất nghiêm trọng.
- Ứng dụng React/Next.js hiện đại có thể bị ảnh hưởng.
- Cần cập nhật ngay.
- Không nên xem đây là lỗi “lý thuyết”.
Điều cần hiểu cẩn thận hơn
- Không phải mọi ứng dụng React đều dính lỗi. React nói rõ chỉ các app có server-side RSC liên quan mới bị ảnh hưởng.[1]
- Các con số version trong video có thể là ảnh chụp ở một thời điểm nhất định. Khi xử lý thực tế, luôn nên ưu tiên advisory mới nhất từ React/Next.js.[3][4]
- Video mô phỏng khía cạnh “nguy cơ có thể dẫn đến thực thi mã”, nhưng để đánh giá môi trường thật, bạn vẫn cần đối chiếu đúng topology, package, release line và cơ chế deploy của dự án.
Kết luận
Nếu tóm gọn tinh thần của video trong một câu, thì đó là:
Đây không phải lỗi nhỏ của front-end; đây là một lỗ hổng server-side cực nghiêm trọng trong hệ sinh thái React/Next.js, và việc trì hoãn cập nhật là rất rủi ro.
Video làm tốt ở chỗ nó khiến người xem nhận ra rằng “React” không còn chỉ là chuyện UI. Khi React/Next.js tiến sâu vào server-side rendering và server functions, hậu quả của lỗi logic/protocol có thể nghiêm trọng ngang các lỗ hổng ở backend truyền thống.
Nguồn tham khảo
[1] React Team — Critical Security Vulnerability in React Server Components
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
[2] NVD — CVE-2025-55182
https://nvd.nist.gov/vuln/detail/CVE-2025-55182
[3] Next.js — Next.js Security Update: December 11, 2025
https://nextjs.org/blog/security-update-2025-12-11
[4] React Team — Update Instructions section in the same React advisory (updated Jan 26, 2026)
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
[5] Canadian Centre for Cyber Security — React security advisory (AV25-804) – Update 1
https://www.cyber.gc.ca/en/alerts-advisories/react-security-advisories-av25-804
Được biên soạn bởi PixelRouter Editorial Team
Chúng tôi cung cấp các bài viết chuyên sâu và chính xác về hạ tầng AI, bảo mật API, quản lý tài chính đám mây và tối ưu hóa hệ thống cho nhà phát triển.