Nove greške u React RSC-u, CVE-2025-55183 i CVE-2025-55184, izazivaju nove sigurnosne zabrinutosti.

Početna » piton » Nove greške u React RSC-u, CVE-2025-55183 i CVE-2025-55184, izazivaju nove sigurnosne zabrinutosti.

dva Novootkrivene ranjivosti u React Server komponentama (RSC) ponovo su usmjerili pažnju na sigurnost modernih JavaScript backendova. Praćeno kao CVE-2025-55183 i CVE-2025-55184, ovi nedostaci ne omogućavaju direktno udaljeno izvršavanje koda, ali i dalje mogu uzrokovati ozbiljne poremećaje kroz uskraćivanje usluge i neželjeno otkrivanje izvornog koda pozadinskog sistema kada se iskoriste u pravim uslovima.

Ove greške su se pojavile kao dio šireg Sigurnosni pregled izazvan kritičnim problemom React2Shell-a (CVE-2025-55182), koja je već bila aktivno iskorištavana. Iako su nove slabosti manje ozbiljne od ranije ranjivosti CVSS 10.0, one ističu kako, kada kritična greška postane javna, istraživači i napadači podjednako duboko istražuju... susjedne RSC kodne putanje koje traže varijantne tehnike napada.

Pozadina: Od React2Shell-a do novih RSC ranjivosti

Vezani članak:

React Router napreduje sa serverskim komponentama, framework modovima i otvorenim upravljanjem

Dok su branioci i React tim implementirali ublažavanja za React2Shell, sigurnosni istraživači su počeli ispitivati ​​ažurirani kod kako bi provjerili da li se ispravke mogu... zaobiđeno ili prošireno u nove primitive iskorištavanjaOvaj proces je standardna praksa u cijeloj industriji: nakon što se zakrpi vrlo kritična ranjivost, obližnja logika i interfejsi se agresivno ispituju u potrazi za sličnim obrascima.

Upravo tokom ovog naknadnog istraživanja Dokumentovane su tri povezane RSC greškeProblem uskraćivanja usluge (CVE-2025-55184), naknadna nepotpuna ispravka s istim utjecajem (CVE-2025-67779) i slabost u otkrivanju informacija (CVE-2025-55183). Iako je CVE-2025-67779 također relevantan za sigurnost RSC-a, glavni fokus sada je na razumijevanju novo detaljno opisano ponašanje i uticaj CVE-2025-55183 i CVE-2025-55184.

Uz ovu tehničku analizu, stručnjaci za reagovanje na incidente su primijetili razvoj lanaca iskorištavanja oko React2Shell-a, gdje napadači kombiniraju RCE s post-eksploatacijskim korisnim opterećenjima i lateralnim kretanjem. Ta kontinuirana aktivnost povećava hitnost organizacija da se pozabave problemom. sve povezane RSC ranjivosti, uključujući CVE-2025-55183 i CVE-2025-55184, kao dio jedinstvene evoluirajuće površine napada a ne izolovane greške.

Otkriće i odgovorno razotkrivanje ovih problema pokazuje kako šira sigurnosna zajednica, inženjeri dobavljača i lovci na greške... sarađuju kako bi ojačali široko korištene okvire poput Reacta, čak i dok protivnici pokušavaju da naoružaju iste te komponente.

Tehnički detalji CVE-2025-55184: Uskraćivanje usluge u serverskim funkcijama

CVE-2025-55184 je opisan kao ranjivost uskraćivanja usluge (DoS) prije autentifikacije utičući na React Server komponente. Korijen problema leži u načinu na koji određeni RSC paketi rukuju deserijalizacija korisnih podataka iz HTTP zahtjeva ciljanje krajnjih tačaka serverskih funkcija.

U ranjivim verzijama, posebno kreirani zahtjevi mogu pokrenuti nesigurna logika deserijalizacije koja upada u beskonačnu petljuNakon što se ova petlja aktivira, proces koji obrađuje Serversku funkciju efektivno se zaglavljuje, što dovodi do stanja u kojem aplikacija više nije u mogućnosti da opslužuje naknadni HTTP promet ili pouzdano odgovara.

Uticaj je posebno zabrinjavajući jer se nedostatak može iskoristiti prije nego što se primijeni bilo kakva autentifikacijaDrugim riječima, napadaču nisu potrebni važeći akreditivi ili povećane privilegije da bi pokušao iskoristiti problem; niz zlonamjernih zahtjeva je dovoljan da veže resurse servera i potencijalno... isključiti uslugu koju pokreće RSC.

Prema objavljenom bodovanju, CVE-2025-55184 nosi Osnovni CVSS rezultat od 7.5, što ga svrstava u kategoriju visokog stepena ozbiljnosti. Iako samostalno ne nudi izvršavanje koda, pouzdani DoS primitiv protiv ključnog dijela backend steka i dalje se može pretvoriti u rizici dostupnosti, kršenja ugovora o nivou usluge i uticaj na poslovanje nizvodno.

Tokom procesa ažuriranja, koristi se zaseban identifikator, CVE-2025-67779, dodijeljen je nepotpunom rješenju za ovaj problem. Taj naknadni CVE adresira preostale putanje koje su i dalje proizvodile isti efekat uskraćivanja usluge, naglašavajući kako Zatvaranje složenih grešaka u deserijalizaciji može zahtijevati više iteracija kako bi se pokrio svaki granični slučaj..

Tehnički detalji CVE-2025-55183: Izloženost izvornog koda putem kreiranih zahtjeva

Gdje se CVE-2025-55184 fokusira na dostupnost, CVE-2025-55183 se bavi povjerljivošćuOva ranjivost je okarakterisana kao Greška u vezi s curenjem informacija u komponentama React Servera što može uzrokovati vraćanje izvornog koda određenih serverskih funkcija udaljenom klijentu.

U ranjivim izdanjima, pažljivo dizajniran HTTP zahtjev poslan izloženoj serverskoj funkciji može izazvati ponašanje u kojem server odgovara osnovnim kodom bilo koje ciljane serverske funkcijeOvakvo curenje informacija može otkriti detalje implementacije, poslovnu logiku, kodirane stringove ili druge osjetljive informacije koje organizacije obično drže isključivo na strani servera.

Međutim, iskorištavanje CVE-2025-55183 ograničeno je određenim preduslovom: mora postojati barem jedan Serverska funkcija čiji interfejs otkriva argument koji je pretvoren u format stringa, bilo eksplicitno ili implicitno. Samo kada ovaj obrazac postoji u korištenju RSC-a aplikacije, ranjivost postaje održiva za potencijalnog napadača.

Dodjeljivanje sigurnosnih ocjena CVSS rezultat od 5.3 na osnovu CVE-2025-55183, što ga svrstava u raspon srednje ozbiljnosti. Čak i tada, otkrivanje izvornog koda može biti daleko od bezopasnog. Poznavanje internih naziva funkcija, parametara, rukovanja greškama i tokova podataka može pomoći protivnicima da osmisle prilagođenije napade, uočiti skrivene slabosti i osmisliti phishing ili društvene inženjering aktivnosti koje su bliže ponašanju stvarnog sistema.

Pored bilo kakve neposredne vrijednosti eksploatacije, vidljivost stečena procurilim kodom serverskih funkcija može efektivno pretvoriti aplikaciju u vlastitu nacrt za buduće pokušaje upada, posebno u okruženjima gdje se isti obrasci pojavljuju u više servisa.

Pogođeni paketi i verzije u React RSC ekosistemu

Novo dokumentovane ranjivosti utiču na skup Paketi za integraciju React Server komponenti, posebno implementacije koje uključuju RSC u alate za izgradnju i izvršavanje. Pogođeni moduli su:

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

I za CVE-2025-55184 i za CVE-2025-55183, pogođene verzije obuhvataju više izdanja 19.x. Skup ranjivih komponenti uključuje 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 i 19.2.1Razvojni timovi koji pokreću ove verzije u produkciji ili pripremnoj fazi moraju pretpostaviti da su njihove instance može biti podložno uskraćivanju usluge ili curenju izvornog koda ako je izložen nepouzdanom saobraćaju.

Osim toga, nepotpuna popravka predstavljena sa CVE-2025-67779 utiče na verzije 19.0.2, 19.1.3 i 19.2.2Iako je ovaj identifikator povezan s istom vrstom DoS ponašanja kao i CVE-2025-55184, on naglašava da čak i nadograđena okruženja mogu ostati djelomično izložena ako se nađu na ovim međuizdanjima.

Raspon pogođenih verzija pokazuje kako RSC-ov brzi iteracijski ciklus može zakomplicirati upravljanje zakrpama. Organizacije koje sporadično nadograđuju ili se vežu za određene sporedne verzije možda neće shvatiti da novo dostignuto izdanje spada unutar pogođenog prozora, što čini pažljiva revizija verzija je neophodna.

S obzirom na popularnost React ekosistema i rastuće usvajanje serverskih komponenti za performanse i iskustvo programera, skup aplikacija koje bi potencijalno mogle biti pogođene... CVE-2025-55183 i CVE-2025-55184 vjerovatno će obuhvatiti širok spektar industrija i modela primjene.

Zakrpene verzije i preporučeni put nadogradnje

Kako bi se riješile ranjivosti, React tim je objavio zakrpe za sva tri pogođena RSC paketaKorisnicima se preporučuje da što prije migriraju na sljedeća fiksna izdanja:

• 19.0.3
• 19.1.4
• 19.2.3

Prema održavateljima, ova ažuriranja u potpunosti ublažiti problem uskraćivanja usluge koji predstavljaju CVE-2025-55184 i povezani CVE-2025-67779, kao i rizik od otkrivanja informacija opisan u CVE-2025-55183. Ključno je da je raniji React2Shell vektor (CVE-2025-55182) također blokiran širim skupom zakrpa koje su objavljene u granama 19.x.

Timovi odgovorni za implementaciju u produkciji se ohrabruju da ovo tretiraju kao zadatak održavanja visokog prioriteta, posebno uzimajući u obzir aktivno istraživanje ranjivosti RSC-a od strane legitimnih istraživača i neprijateljskih aktera. Tamo gdje trenutno postavljanje najnovije sporedne linije nije izvodljivo, organizacije bi trebale barem osigurati Nisu zaglavljeni ni na jednoj od posebno navedenih ranjivih verzija.

Kao i uvijek, nadogradnja biblioteka treba ići ruku pod ruku sa testiranje i postepeno uvođenjeDodavanje regresijskih provjera oko kritičnih serverskih funkcija, praćenje stopa grešaka nakon nadogradnje i pregled logova za neuobičajene aktivnosti deserijalizacije ili serijalizacije mogu pomoći da se osigura da se nove verzije ponašaju kako se očekuje u stvarnom prometu.

Brza dostupnost zakrpa naglašava stav React tima da višestruki krugovi otkrivanja nisu nužno znak neuspjelog saniranja, već prije ciklus zdravog odgovora gdje se dubina odbrane poboljšava tokom vremena kako se otkriva i rješava sve više rubnih slučajeva i varijantnih puteva.

Kako su ranjivosti otkrivene i prijavljene

Novo dokumentovani nedostaci odražavaju kontinuiranu saradnju između nezavisni istraživači sigurnosti i Meta program nagrađivanja za otkrivanje grešakaProbleme sa uskraćivanjem usluge, CVE-2025-55184 i naknadni CVE-2025-67779, prijavio je RyotaK i Shinsaku Nomura, koji je zaslužio priznanje za identifikaciju načina na koji zlonamjerni korisni sadržaji mogu dovesti RSC u stanje nereagiranja.

Ranjivost na curenje informacija, CVE-2025-55183, otkriveno je od strane Andrew MacPherson, koji je istakao uslove pod kojima serverska funkcija može vratiti vlastiti izvorni kod kada joj se predstavi pažljivo konstruisan HTTP zahtjev.

Ovi nalazi su se pojavili dok su istraživači aktivno pokušavali testirajte postojeće mjere ublažavanja za CVE-2025-55182Na taj način su efektivno replicirali vrstu analitičkog rada koji bi odlučni napadači mogli obavljati, ali u okviru odgovornog izvještavanja i koordinirane distribucije zakrpa.

React tim je javno priznao da su ovakvi obrasci tipično u softverskoj industriji, ne samo unutar JavaScript ekosistema. Nakon što kritična greška privuče pažnju, i programeri i protivnici traže „varijantne“ strategije iskorištavanja duž susjednih kodnih putanja, ponekad otkrivajući prethodno previđene slabosti.

Rješavanjem problema CVE-2025-55183, CVE-2025-55184 i CVE-2025-67779 pravovremenim i transparentnim rješavanjem, održavatelji imaju za cilj da... budite ispred potencijalnog naoružanja istovremeno pružajući organizacijama jasne smjernice o tome kako osigurati implementaciju svojih React Server komponenti.

Kontekst rizika: Zašto su greške koje nisu RCE i dalje važne

Iako ove nove ranjivosti same po sebi ne dozvoljavaju napadaču direktno izvršavanje koda na daljinu, one i dalje mogu biti visokovrijedni alati u širem kompletu za zaštitu od provaleGreška uskraćivanja usluge (DOS) poput CVE-2025-55184 može se koristiti za ometanje operacija, djelovati kao dimna zavjesa koja odvlači pažnju braniteljima ili ispitivati ​​koliko je infrastruktura organizacije otporna na neuobičajeno opterećenje.

Paralelno, vektor izloženosti izvornog koda kao što je CVE-2025-55183 može doprinijeti izviđačkim naporimaPristup internom tekstu serverskih funkcija može otkriti kako se zahtjevi autentificiraju, koji parametri utječu na pristup bazi podataka, kako se rješavaju greške i gdje su integrirane usluge trećih strana. Ta vidljivost je neprocjenjiva za napadače koji pokušavaju organizirati preciznije ili prikrivenije pokušaje iskorištavanja.

U okruženjima koja se već suočavaju s posljedicama React2Shell (CVE-2025-55182), ove dodatne slabosti povećavaju složenost ukupnog pejzaža prijetnji. Branioci su prisiljeni da razmotre ne samo trenutnu prevenciju RCE-a, već i stabilnost i povjerljivost ponašanja RSC-a pod zlonamjernim unosom.

Iz perspektive upravljanja, ova situacija naglašava zašto Programi za upravljanje ranjivostima moraju gledati dalje od CVSS 10.0 rezultata koji privlače pažnju javnostiGreške srednjeg i visokog stepena ozbiljnosti koje utiču na dostupnost i izloženost informacija i dalje mogu biti ključne, posebno kada se kombinuju s drugim tehnikama u realističnom lancu napada.

U konačnici, ovi razvoji događaja pojačavaju ideju da održavanje sigurnih RSC implementacija nije jednokratni napor. To je umjesto toga kontinuirani proces ažuriranje, praćenje, testiranje i pregled načina na koji su serverske funkcije dizajnirane i izložene prekovremeno.

Kako se prašina sleže oko hitne situacije s React2Shellom i s njom povezanih otkrića, organizacije koje koriste React Server komponente su prisiljene da... preispitaju svoje verzije zavisnosti, ojačaju svoje serverske interfejse i brzo reaguju na sigurnosne savjete uzvodnoPraćenjem najnovijih zakrpa i integracijom sigurnosnih provjera u svoje razvojne tokove rada, timovi mogu značajno smanjiti priliku za napadače koji ciljaju CVE-2025-55183, CVE-2025-55184 i srodne RSC ranjivosti.