Share
## https://sploitus.com/exploit?id=44891781-6D2D-578C-B9B7-3A79203930AD
# rsc-exposure-audit
Black-box exposure audit for Next.js / React Server Components (RSC) endpoints (non-exploit).

# CVE-2025-55182 
# CVE-2025-55183
# CVE-2025-55184
# CVE-2025-67779 

Π­Ρ‚ΠΎΡ‚ Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΉ содСрТит ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ для бСзопасной (non-exploit) ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½ΠΎΠΉ экспозиции React Server Components / Flight-ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΈ связанной повСрхности Π°Ρ‚Π°ΠΊ Π² прилоТСниях Next.js.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚:
	β€’	ВыполняСт black-box Π·ΠΎΠ½Π΄ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ URL ΠΈ опрСдСляСт ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΈ Next.js (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, /_next/static/, x-nextjs-*).
	β€’	ΠžΠΏΡ€Π΅Π΄Π΅Π»ΡΠ΅Ρ‚ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΈ RSC/Flight (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Content-Type: text/x-component, β€œflight-like” структура ΠΎΡ‚Π²Π΅Ρ‚Π°).
	β€’	Π€ΠΎΡ€ΠΌΠΈΡ€ΡƒΠ΅Ρ‚ консСрвативный риск-ΠΎΡ‚Ρ‡Ρ‘Ρ‚ ΠΈ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ обновлСнию/ΠΊΠΎΠΌΠΏΠ΅Π½ΡΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΌ ΠΌΠ΅Ρ€Π°ΠΌ (rate limiting, timeouts, body size limits).

Π§Ρ‚ΠΎ НЕ Π΄Π΅Π»Π°Π΅Ρ‚:
	β€’	НС выполняСт эксплуатационныС ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ.
	β€’	НС отправляСт PoC-ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Ρ‹ для RCE/DoS/ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ исходников.
	β€’	НС ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°Π΅Ρ‚ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Ρ… CVE β€œΠΏΠΎ сСти” β€” Ρ‚ΠΎΠ»ΡŒΠΊΠΎ фиксируСт ΡΠΊΡΠΏΠΎΠ·ΠΈΡ†ΠΈΡŽ ΠΈ условия риска. Для Ρ‚ΠΎΡ‡Π½ΠΎΠ³ΠΎ статуса трСбуСтся свСрка вСрсий react-server-dom-* ΠΈ next Π²Π½ΡƒΡ‚Ρ€ΠΈ окруТСния.