Recent, o vulnerabilitate de maximă severitate a fost dezvăluită în React Server, un pachet open-source folosit pe scară largă de site-uri web și în medii cloud. Descoperită miercuri, această breșă de securitate permite hackerilor să execute coduri malițioase pe serverele care o utilizează, fără a necesita autentificare.
React este integrat în aplicațiile web care rulează pe servere, facilitând dispozitivelor la distanță să proceseze JavaScript și conținutul mai rapid și cu mai puține resurse. Se estimează că React este utilizat de aproximativ 6% dintre toate site-urile web și 39% din mediile cloud. Când utilizatorii reîncarcă o pagină, React permite serverelor să re-genereze doar părțile care s-au modificat, îmbunătățind semnificativ performanța și reducând resursele computaționale necesare.
Firma de securitate Wiz a indicat că exploatarea acestei vulnerabilități necesită doar o singură solicitare HTTP și are o „fiabilitate aproape de 100%” în testările efectuate. Multe cadre software și biblioteci integrează implementările React în mod implicit. Astfel, chiar și când aplicațiile nu folosesc explicit funcționalitățile React, ele pot fi totuși vulnerabile, deoarece stratul de integrare invocă codul defect.
Datorită utilizării extinse a React, în special în mediile cloud, ușurinței de exploatare și capacității de a executa coduri care le oferă atacatorilor controlul asupra serverelor, această vulnerabilitate a primit un scor de severitate de 10, cel mai mare posibil. Pe rețelele sociale, apărătorii securității și inginerii software îndeamnă pe oricine este responsabil de aplicații legate de React să instaleze imediat o actualizare lansată miercuri.
„De obicei nu spun asta, dar instalați actualizarea chiar acum”, a scris un cercetător. „Listarea CVE a React (CVE-2025-55182) este un perfect 10.”
Versiunile React 19.0.1, 19.1.2 sau 19.2.1 conțin codul vulnerabil. Componentele terțe cunoscute a fi afectate includ:
Conform Wiz și firmei de securitate Aikido, vulnerabilitatea, urmărită sub numele CVE-2025-55182, se află în Flight, un protocol din Componentele Server React. Next.js a atribuit desemnarea CVE-2025-66478 pentru a urmări vulnerabilitatea în pachetul său.
Vulnerabilitatea provine din deserializarea nesigură, procesul de codificare de convertire a șirurilor, fluxurilor de octeți și altor formate „serializate” în obiecte sau structuri de date în cod. Hackerii pot exploata deserializarea nesigură folosind payload-uri care execută cod malițios pe server. Versiunile actualizate de React includ o validare mai strictă și un comportament de deserializare consolidat.
„Când un server primește un payload special conceput și malformat, acesta eșuează în a valida structura corect, permițând datelor controlate de atacator să influențeze logica de execuție a serverului, rezultând în executarea codului JavaScript privilegiat”, a explicat Wiz.
În experimentele noastre, exploatarea acestei vulnerabilități a avut o fidelitate înaltă, cu o rată de succes aproape de 100% și poate fi utilizată pentru a realiza un control complet al serverului.
Poll: Care dintre următoarele măsuri considerați că ar trebui luate de urgență pentru a proteja serverele care utilizează React Server?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply