Οι διαχειριστές και οι υπερασπιστές περικλείονται ενάντια στο vuln διακομιστή μέγιστης σοβαρότητας
«Συνήθως δεν το λέω αυτό, αλλά μπαλώνω τρελά τώρα», έγραψε ένας ερευνητής. “Η καταχώριση React CVE (CVE-2025-55182) είναι ένα τέλειο 10.” Οι εκδόσεις React 19.0.1, 19.1.2 ή 19.2.1 περιέχουν τον ευάλωτο κώδικα. Στοιχεία τρίτων που είναι γνωστό ότι επηρεάζονται περιλαμβάνουν: Πρόσθετο Vite RSC Parcel RSC Πρόσθετο React Router RSC Προεπισκόπηση RedwoodSDK Waku Next.js Σύμφωνα με τη Wiz και τη συνεργαζόμενη εταιρεία ασφαλείας Aikido, η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-55182, βρίσκεται στο Flight, ένα πρωτόκολλο διακομιστή που βρίσκεται στο Reformonent. Το Next.js έχει εκχωρήσει την ονομασία CVE-2025-66478 για την παρακολούθηση της ευπάθειας στο πακέτο του. Η ευπάθεια προέρχεται από την μη ασφαλή αποσειριοποίηση, τη διαδικασία κωδικοποίησης μετατροπής συμβολοσειρών, ροών byte και άλλων «σειριακών» μορφών σε αντικείμενα ή δομές δεδομένων σε κώδικα. Οι χάκερ μπορούν να εκμεταλλευτούν την ανασφαλή αποσειριοποίηση χρησιμοποιώντας ωφέλιμα φορτία που εκτελούν κακόβουλο κώδικα στον διακομιστή. Οι επιδιορθωμένες εκδόσεις React περιλαμβάνουν αυστηρότερη επικύρωση και σκληρή συμπεριφορά αφαίρεσης. «Όταν ένας διακομιστής λαμβάνει ένα ειδικά κατασκευασμένο, ωφέλιμο φορτίο με κακή μορφή, αποτυγχάνει να επικυρώσει σωστά τη δομή», εξήγησε ο Wiz. “Αυτό επιτρέπει στα δεδομένα που ελέγχονται από τον εισβολέα να επηρεάζουν τη λογική εκτέλεσης από την πλευρά του διακομιστή, με αποτέλεσμα την εκτέλεση προνομιούχου κώδικα JavaScript.” Η εταιρεία πρόσθεσε: Στον πειραματισμό μας, η εκμετάλλευση αυτής της ευπάθειας είχε υψηλή πιστότητα, με ποσοστό επιτυχίας σχεδόν 100% και μπορεί να αξιοποιηθεί σε πλήρη απομακρυσμένη εκτέλεση κώδικα. Το διάνυσμα επίθεσης δεν είναι πιστοποιημένο και απομακρυσμένο, και απαιτεί μόνο ένα ειδικά διαμορφωμένο αίτημα HTTP στον διακομιστή προορισμού. Επηρεάζει την προεπιλεγμένη διαμόρφωση των δημοφιλών πλαισίων. Και οι δύο εταιρείες συμβουλεύουν τους διαχειριστές και τους προγραμματιστές να αναβαθμίσουν το React και τυχόν εξαρτήσεις που βασίζονται σε αυτό. Οι χρήστες οποιουδήποτε από τα πλαίσια και τις προσθήκες με δυνατότητα απομακρυσμένης λειτουργίας που αναφέρονται παραπάνω θα πρέπει να επικοινωνήσουν με τους συντηρητές για καθοδήγηση. Το Aikido προτείνει επίσης στους διαχειριστές και τους προγραμματιστές να σαρώσουν τις βάσεις κώδικα και τα αποθετήρια τους για οποιαδήποτε χρήση του React χρησιμοποιώντας αυτόν τον σύνδεσμο.
Δημοσιεύτηκε: 2025-12-03 23:16:00
πηγή: arstechnica.com
