Десериализация Next.js

CVE-2025-55182 Уязвимость, появившаяся в React 19 в затронутой версии, Next.js App Router принимает сериализованные данные RSC от клиента и передает их непосредственно ReactFlightReplyServer для десериализации, без достаточной проверки структуры модели, путей ссылок и метаданных Server Reference. Злоумышленник может создать вредоносный RSC. Злоумышленник может составить вредоносный RSC-запрос, направить parseModelString, getOutlinedModel, loadServerReference, initializeModelChunk и другие ссылки парсинга в состояние исключения, контролировать цель вызова на этапах загрузки модуля и привязки ссылок и в итоге запустить произвольный триггер на стороне сервера в Next. js. js может вызвать выполнение любого кода на стороне сервера.