A Proteção de Aplicações Barracuda protege contra vulnerabilidades críticas do React e Next.js

Mitigação de ameaças críticas de execução remota de código (RCE) no React e Next.js com a Proteção de Aplicação Barracuda

Principais conclusões

• Duas vulnerabilidades RCE recentes permitem a exploração não autenticada em determinadas aplicações voltadas para o cliente ou internas.
• Os clientes que executam React Server Components (19.0.0–19.2.0) ou versões específicas do Next.js devem atualizar imediatamente e devem rever as orientações do Barracuda Campus.
• A Proteção de Aplicações Barracuda fornece defesa proativa através de deteção baseada em assinaturas, análise comportamental e inteligência de ameaças impulsionada por IA—não requerendo intervenção manual.
• BarracudaONE oferece visibilidade centralizada e defesas em camadas em toda a segurança de e-mail, rede e aplicações, garantindo resiliência contra ameaças em evolução.

Duas novas vulnerabilidades críticas de execução remota de código (RCE) reveladas—CVE-2025-55182 e CVE-2025-66478—representam uma ameaça séria para aplicações construídas em React e Next.js. Estas falhas permitem que atacantes executem código arbitrário em sistemas vulneráveis, o que pode levar ao comprometimento da aplicação, acesso não autorizado e potencial perda de dados.

Porque são importantes

A exploração não requer autenticação, dando aos atores da ameaça um caminho rápido para assumir o controlo das aplicações, roubar dados sensíveis ou interromper serviços críticos. Com o React e o Next.js a alimentarem inúmeras aplicações voltadas para o cliente e internas, a superfície de ataque é substancial — e o risco é imediato. As organizações sem proteções robustas estão altamente expostas.

Barracuda Application Protection—Recomendações

Como parte de Barracuda Application Protection, Barracuda Web Application Firewall (WAF) e Barracuda WAF-as-a-Service fornecem proteção automática contra ataques de execução remota de código, como os apresentados por estas vulnerabilidades. As atualizações de segurança são regularmente aplicadas a todos os clientes que utilizam as versões 12.1, 12.2 e GA suportadas pela inteligência de ameaças baseada em nuvem da Barracuda, que oferece defesa em tempo real através de atualizações de assinatura e deteção ativa.

Para os clientes que têm react-server-dom* (19.0.0, 19.1.0, 19.1.1 e 19.2.0) ou Next.js (16.0.7, 15.5.7 e 15.4.8) presentes no seu ambiente, recomendamos fortemente seguir as orientações nestes artigos do Barracuda Campus, que serão atualizados à medida que novas informações estiverem disponíveis:

• https://campus.barracuda.com/product/webapplicationfirewall/doc/788704332/cve-2025-55182-react-next-js-remote-code-execution-vulnerabilities/
• https://campus.barracuda.com/product/loadbalanceradc/doc/788617632/cve-2025-55182-react-next-js-remote-code-execution-vulnerabilities/
• https://campus.barracuda.com/product/WAAS/doc/788639261/cve-2025-55182-react-next-js-remote-code-execution-vulnerabilities/

Aconselhamos todos os clientes a reverem o seu inventário de aplicações para identificar qualquer utilização de React ou Next.js com React Server Components, e a atualizarem para as versões mais recentes do React (19.2.1) e Next.js (16.0.7, 15.5.7 e 15.4.8).

Para ambientes que não utilizam as versões vulneráveis do React ou Next.js, nenhuma ação adicional é necessária neste momento.

O nosso compromisso

A Barracuda continua empenhada em ajudar as organizações a manterem-se resilientes contra ameaças em evolução.

Barracuda Application Protection fornece:

• Salvaguardas automáticas: Bloqueia instantaneamente cargas úteis maliciosas concebidas para explorar vulnerabilidades do React e Next.js.
• Defesas em camadas: Combina deteção baseada em assinatura, análise comportamental e inteligência de ameaças impulsionada por IA para parar tentativas de RCE.
• Atualizações contínuas: Atualizações de assinaturas em tempo real através da rede global de inteligência de ameaças da Barracuda—não é necessária intervenção manual.
• Facilidade de uso: Visibilidade e controlo centralizados através da plataforma de cibersegurança BarracudaONE, garantindo defesas robustas sem complexidade adicional.

Quer se trate de segurança de e-mail, de rede ou de aplicações, a nossa abordagem de plataforma unificada garante que clientes e parceiros possam operar com confiança—mesmo quando os atacantes visam novas vulnerabilidades.