Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Бизнес
Российский бизнес активно движется по пути цифровой трансформации
ИТ-бизнес
Обзор МФУ Sharp MX-2651EU: обновленная линейка

CNews Аналитика Конференции Маркет Техника ТВ

Спецпроекты

Безопасность
|

ГК «Гарда»: обнаружена уязвимость в серверных компонентах React

В экосистеме React обнаружена критическая уязвимость в серверных компонентах React Server, которая позволяет злоумышленникам удаленно запускать произвольный код на сервере без аутентификации. Об этом CNews сообщили представители ГК «Гарда».

Уязвимость затрагивает сервисы, созданные на основе популярных фреймворков с открытым исходным кодом React Server Components. Проблема связана с тем, как React обрабатывает и декодирует данные, отправляемые на серверные функции (React Server Functions). React Server Functions используются для того, чтобы клиентский код мог вызывать функции, исполняемые на сервере. Запрос, отправленный из браузера, трансформируется в HTTP‑запрос к серверной конечной точке, в которой React анализирует полученные данные и вызывает соответствующую функцию. Ошибка была обнаружена именно на этом этапе ‒ при парсинге входящих данных. Атакующий, не проходя аутентификацию, может отправить вредоносный запрос и выполнить свой код на сервере.

1 декабря 2025 г. было выпущено исправление, и команда React начала работу с затронутыми хостинг-провайдерами и open-source проектами для его проверки, внедрения защитных мер и развертывания исправлений. 3 декабря 2025 г. уязвимость была зафиксирована как CVE-2025-55182 с максимальной оценкой критичности CVSS 10.0. Опубликован прототип эксплуатации PoC CVE-2025-55182 - React Server Components Prototype Chain Vulnerability. В ближайшее время ожидается появление множества средств эксплуатации уязвимости.

«Уязвимости такого масштаба неизбежно становятся мишенью для массовых атак, — отметил Лука Сафонов, бизнес-партнер по инновационному развитию группы компаний «Гарда». — Даже если используемое в компании приложение не обрабатывает запросы к React Server Function, оно все равно может быть уязвимым, если в нем включена поддержка React Server Components. Минимизировать риски и возможный ущерб помогают решения класса WAF, которые защищают от эксплуатации уязвимости нулевого дня и предотвращает взлом клиентских приложений и сервисов».

Короткая ссылка


Другие материалы рубрики

Как организована защита данных в СУБД Postgres Pro

Snapchat все. В России заблокировали один из самых безопасных мессенджеров в мире

Николай Нашивочников, «Газинформсервис»: Без постоянной проверки не может быть уверенности в защите

Напавшего на «Почту России» хакера поймали и посадили на 21 год. Им оказался ученый-физик из Подмосковья

Антон Шмаков, «Группа Астра»: Рынок ПАКов отражает ситуацию в отечественной ИТ-отрасли

Троян годами маскировался под полезные инструменты, чтобы внезапно наброситься на пользователей Chrome и MS Edge

CNewsMarket

Email-рассылки

Выбор сервиса для почтовых рассылок

От 0.13 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

IP-телефония

Подобрать тариф на IP-телефонию и виртуальную АТС

От 0.50 руб./месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Техника

Самая эргономичная мебель для работы из дома: выбор ZOOM

Лучшие умные колонки в 2025 году: выбор ZOOM

Битва голосовых помощников: Алиса, Маруся и Салют

Показать еще

Наука

OLED объединили с метаповерхностями: голографические гаджеты из фантастики — уже реальность

Исследование древнего кладбища перевернуло устоявшиеся представления о жизни в каменном веке

Если квантовые вычисления отвечают на неразрешимые вопросы, то как понять, что ответы верные?
Показать еще