Поделиться
В компании «Газинформсервис» проанализировали критические RCE-уязвимости в экосистеме React/Next.js
Специалисты компании «Газинформсервис» проанализировали критические уязвимости CVE-2025-55182 и CVE-2025-66478 в экосистеме React и Next.js.Об этом CNews сообщили представители «Газинформсервис».
Согласно данным исследователей, атаки эксплуатируют уязвимости в механизмах Server Side Rendering (SSR) и React Server Components в версиях React 19 и Next.js 13.4+, позволяя злоумышленнику выполнять произвольный код на сервере (RCE).
Директор по продуктам компании «Газинформсервис» Сергей Никитин отметил, что компания проводит постоянный мониторинг безопасности сторонних библиотек и готова к оперативному обновлению решений в случае возникновения угроз.
Efros Defence Operations базируется на React 18.x, создается как статическое одностраничное приложение (SPA), выполняющееся целиком на стороне клиента. Сервисы на сервере не взаимодействуют с React и не используют Node.js или другие JavaScript-рантаймы. Таким образом, отсутствуют условия для эксплуатации уязвимостей.
SafeERP использует React 18, в котором указанные уязвимости отсутствуют. Фреймворк Next.js не применяется.
Компоненты СУБД Jatoba используют React 18, а серверный рендеринг (Server Side Rendering) не используется, Next.js отсутствует.
Поделиться
Короткая ссылка
