Является ли React 18 с канареечными сборками React-Server-dom уязвимым для CVE-2025-55182? ⇐ Javascript

[Anonymous]

Я поддерживаю проект React 18 и пытаюсь оценить влияние CVE-2025-55182 (React Server Components/"React2Shell").
В большинстве рекомендаций упоминаются затронутые версии в экосистеме React 19 (конкретные выпуски response-server-dom-*). Тем не менее, мой проект React 18 по-прежнему заканчивается канареечными/экспериментальными сборками response-server-dom-* в node_modules (вероятно, это инструмент для транзитивных зависимостей/только для разработчиков). Я также заметил, что пакет разработки содержит логику декодирования/десериализации полезной нагрузки Flight, что заставило меня задуматься, может ли React 18 по-прежнему оставаться уязвимым при некоторых условиях.
Информация о зависимостях:

Код: Выделить всё

npm ls react react-dom react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack
# or
npm explain react-server-dom-webpack
# (yarn)
yarn why react-server-dom-webpack

Пример вывода:

Код: Выделить всё

myapp@...
├─ react@18.x
├─ react-dom@18.x
└─ react-server-dom-webpack@18.x-canary-...  (transitive/devDependency)

В проекте React 18 установлено ли достаточно канареечных/экспериментальных сборок response-server-dom-*, на которые может повлиять CVE-2025-55182?


Подробнее здесь: https://stackoverflow.com/questions/798 ... 2025-55182