React และ Next.js มีช่องโหว่ระดับวิกฤตเสี่ยงโดนยึดเซิร์ฟเวอร์ อัปเดตด่วน!

มีการเปิดเผยช่องโหว่ความปลอดภัยระดับ “วิกฤตสูงสุด” (Maximum Severity) ในไลบรารีสำหรับนักพัฒนาอย่าง React และเฟรมเวิร์กยอดนิยม Next.js ซึ่งเปิดช่องให้แฮกเกอร์สามารถรันคำสั่งอันตรายบนเซิร์ฟเวอร์ (Remote Code Execution – RCE) ได้โดยไม่ต้องผ่านการยืนยันตัวตน

จุดตายอยู่ที่ “Server Components”

ช่องโหว่นี้ (รหัส CVE-2025-55182) ได้รับคะแนนความรุนแรงเต็ม 10.0/10 ตามมาตรฐาน CVSS โดยต้นตอของปัญหาเกิดจากฟีเจอร์ React Server Components (RSC)

ทางทีมพัฒนา React อธิบายว่า ช่องโหว่นี้เกิดขึ้นในกระบวนการที่ React ทำการ “ถอดรหัส” (Decode) ข้อมูล Payload ที่ส่งไปยัง React Server Function endpoints หากแฮกเกอร์ส่ง HTTP Request ที่ถูกปรับแต่งมาเป็นพิเศษ ระบบจะเผลอประมวลผลข้อมูลนั้น (Insecure Deserialization) และอนุญาตให้รันโค้ด JavaScript อันตรายบนฝั่งเซิร์ฟเวอร์ได้ทันที

​ความน่ากลัวคือ “แม้แอปพลิเคชันของคุณจะไม่ได้ใช้งาน Server Function endpoints โดยตรง แต่ถ้ามีการรองรับ React Server Components ก็ถือว่ามีความเสี่ยงทันที”

​

Next.js และเฟรมเวิร์กอื่นก็ไม่รอด

เนื่องจาก Next.js เป็นเฟรมเวิร์กที่นำ RSC มาใช้งานอย่างแพร่หลาย จึงได้รับผลกระทบไปเต็มๆ ภายใต้รหัส CVE-2025-66478 (CVSS 10.0 เช่นกัน) โดยเฉพาะผู้ที่ใช้งาน App Router

นอกจากนี้ เครื่องมืออื่นๆ ที่มีการ Bundle เอา RSC ไปใช้ ก็อยู่ในข่ายความเสี่ยงทั้งหมด ไม่ว่าจะเป็น:

• Vite RSC plugin
• Parcel RSC plugin
• React Router (RSC preview)
• RedwoodJS
• Waku

สถิติที่น่าตกใจ

บริษัทความปลอดภัยบนคลาวด์อย่าง Wiz เปิดเผยตัวเลขที่น่ากังวลว่า กว่า 39% ของสภาพแวดล้อมบนคลาวด์ (Cloud Environments) ในปัจจุบัน มีความเสี่ยงต่อช่องโหว่นี้ ซึ่งถือเป็นตัวเลขที่สูงมากสำหรับช่องโหว่ที่เพิ่งถูกเปิดเผย

​

รุ่นที่กระทบ

นักพัฒนาจำเป็นต้องตรวจสอบ package.json และทำการอัปเกรดแพตช์ความปลอดภัยโดยด่วนที่สุด ดังนี้:

1. React (แพ็กเกจ react-server-dom-*)

• รุ่นที่กระทบ: 19.0, 19.1.0, 19.1.1, 19.2.0
• รุ่นที่แก้ไขแล้ว: 19.0.1, 19.1.2, 19.2.1

2. Next.js (ผู้ใช้ App Router)

• รุ่นที่กระทบ: ตั้งแต่ 14.3.0-canary.77, เวอร์ชัน 15 และ 16
• รุ่นที่แก้ไขแล้ว:
  • 16.0.7
  • 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5

ช่องโหว่ระดับ CVSS 10.0 ไม่ใช่เรื่องที่จะรอได้ เพราะเป็นช่องโหว่ที่แฮกเกอร์สามารถโจมตีได้ง่ายและสร้างความเสียหายรุนแรงที่สุด ขอแนะนำให้ทีม DevOps และนักพัฒนาทุกท่านอัปเดตโดยด่วน