Μια ευπάθεια μέγιστης σοβαρότητας, που ονομάζεται “React2Shell”, στο πρωτόκολλο “Flight” React Server Components (RSC) επιτρέπει την απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας στις εφαρμογές React και Next.js.
Το ζήτημα της ασφάλειας πηγάζει από την ανασφαλή αποζωνοποίηση. Έλαβε βαθμολογία σοβαρότητας 10/10 και του έχουν εκχωρηθεί τα αναγνωριστικά CVE-2025-55182 για το React και CVE-2025-66478 (το CVE απορρίφθηκε στην Εθνική βάση δεδομένων ευπάθειας) για το Next.js.
Ερευνητής ασφάλειας Λάχλαν Ντέιβιντσον ανακάλυψε το ελάττωμα και το ανέφερε στο React στις 29 Νοεμβρίου. Διαπίστωσε ότι ένας εισβολέας θα μπορούσε να επιτύχει απομακρυσμένη εκτέλεση κώδικα (RCE) στέλνοντας ένα ειδικά διαμορφωμένο αίτημα HTTP στα τελικά σημεία React Server Function.
“Ακόμη και αν η εφαρμογή σας δεν εφαρμόζει τελικά σημεία React Server Function, μπορεί να εξακολουθεί να είναι ευάλωτη εάν η εφαρμογή σας υποστηρίζει React Server Components [RCS]», προειδοποιεί ο συμβουλευτική για την ασφάλεια από το React.
Τα ακόλουθα πακέτα στην προεπιλεγμένη τους διαμόρφωση επηρεάζονται:
- react-server-dom-parcel
- react-server-dom-turbopack
- και react-server-dom-webpack
Το React είναι μια βιβλιοθήκη JavaScript ανοιχτού κώδικα για τη δημιουργία διεπαφών χρήστη. Συντηρείται από τη Meta και υιοθετείται ευρέως από οργανισμούς όλων των μεγεθών για ανάπτυξη web front-end.
Next.js, που διατηρείται από Vercelείναι ένα πλαίσιο χτισμένο πάνω από το React που προσθέτει απόδοση από την πλευρά του διακομιστή, δρομολόγηση και τελικά σημεία API.
Και οι δύο λύσεις είναι ευρέως παρούσες σε περιβάλλοντα cloud μέσω εφαρμογών front-end που βοηθούν στην ταχύτερη και ευκολότερη κλιμάκωση και ανάπτυξη αρχιτεκτονικών.
Ερευνητές στην πλατφόρμα ασφάλειας cloud Wiz προειδοποιώ ότι η ευπάθεια είναι εύκολη στην εκμετάλλευση και υπάρχει στην προεπιλεγμένη διαμόρφωση των επηρεαζόμενων πακέτων.
Επιπτώσεις και διορθώσεις
Σύμφωνα με το React, η ευπάθεια υπάρχει στις εκδόσεις 19.0, 19.1.0, 19.1.1 και 19.2.0. Το Next.js επηρεάζεται σε πειραματικές εκδόσεις canary που ξεκινούν με το 14.3.0-canary.77 και όλες οι εκδόσεις των κλάδων 15.x και 16.x κάτω από τις επιδιορθωμένες εκδόσεις.
Το ελάττωμα υπάρχει στο πακέτο ‘react-server’ που χρησιμοποιείται από τα React Server Components (RSC), αλλά το Next.js το κληρονομεί μέσω της εφαρμογής του πρωτοκόλλου RSC “Flight”.
Οι ερευνητές του Wiz λένε ότι το 39% όλων των περιβαλλόντων cloud όπου έχουν ορατότητα περιέχουν παρουσίες εκδόσεων Next.js ή React που εκτελούνται ευάλωτες σε CVE-2025-55182, CVE-2025-66478 ή και στα δύο.
Η ίδια ευπάθεια υπάρχει πιθανότατα σε άλλες βιβλιοθήκες που εφαρμόζουν το React Server, συμπεριλαμβανομένης της προσθήκης Vite RSC, της προσθήκης Parcel RSC, της προεπισκόπησης του React Router RSC, του RedwoodSDK και του Waku.
Εταιρεία ασφάλειας εφοδιαστικής αλυσίδας λογισμικού Endor Labs εξηγεί ότι το React2Shell “είναι μια λογικά ανασφαλής ευπάθεια αποσειριοποίησης όπου ο διακομιστής αποτυγχάνει να επικυρώσει σωστά τη δομή των εισερχόμενων ωφέλιμων φορτίων RSC.”
Υπάρχει μια αποτυχία επικύρωσης κατά τη λήψη των δεδομένων με λανθασμένη μορφή από τον εισβολέα, η οποία έχει ως αποτέλεσμα την εκτέλεση προνομιούχου κώδικα JavaScript στο περιβάλλον του διακομιστή.
Ο Davidson δημιούργησε ένα Ιστότοπος React2Shellόπου θα δημοσιεύσει τεχνικές λεπτομέρειες. Ο ερευνητής προειδοποιεί επίσης ότι υπάρχουν εκμεταλλεύσεις proof-of-concept (PoC) που δεν είναι γνήσια.
Αυτά τα PoC επικαλούνται λειτουργίες όπως vm#runInThisContext, child_process#execκαι fs#writeFile, αλλά μια γνήσια εκμετάλλευση δεν χρειάζεται αυτό, λέει ο ερευνητής.
“Αυτό θα ήταν εκμεταλλεύσιμο μόνο εάν είχατε συνειδητά επιλέξει να αφήσετε τους πελάτες να τα επικαλούνται, κάτι που θα ήταν επικίνδυνο ανεξάρτητα από το τι”, σημειώνει ο Davidson.
Εξήγησε περαιτέρω ότι αυτά τα ψεύτικα PoC δεν θα λειτουργούσαν με το Next.js καθώς αυτές οι λειτουργίες δεν υπάρχουν λόγω της αυτόματης διαχείρισης της λίστας των λειτουργιών διακομιστή.
Συνιστάται στους προγραμματιστές να εφαρμόσουν τις ενημερώσεις κώδικα που είναι διαθέσιμες στις εκδόσεις React 19.0.1, 19.1.2 και 19.2.1 και Next.js εκδόσεις 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.4.8, 15.6 και 15.5.
Οι οργανισμοί θα πρέπει να ελέγχουν το περιβάλλον τους για να προσδιορίσουν εάν χρησιμοποιούν μια ευάλωτη έκδοση και να λάβουν τα κατάλληλα μέτρα για τον μετριασμό του κινδύνου.
Η δημοτικότητα των δύο λύσεων αντικατοπτρίζεται στον αριθμό των εβδομαδιαίων λήψεων, καθώς το React μετράει 55,8 εκατ στο Node Package Manager (NPM) και έχει το Next.js 16,7 εκατ στην ίδια πλατφόρμα.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
