В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64373

• Уязвимость в серверных компонентах React, позволяющая выполн...,Мохнонос, 11:50 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 11:55 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:25 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:28 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:30 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:59 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,penetrator, 14:01 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 11:56 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,12yoexpert, 11:58 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:06 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Анонисссм, 12:24 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:42 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:38 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:33 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:37 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:10 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:27 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:28 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:37 , 04-Дек-25
    • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 14:05 , 04-Дек-25
      • Уязвимость в серверных компонентах React, позволяющая выполн...,Витюшка, 14:12 , 04-Дек-25

PHP-дыряв! Кричали они.
PHP-неактуален! Вторили им, другие.
А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.

От этой новости ПЫХа менее дырявой не стала)
Тут теорема г-на Эскобара во всей красе.

> питоны и прочее новомодное

Причем тут питон, если нода на JS написана??

Но тебя никто не заставляет им пользоваться.
Можешь обмазываться  ̶о̶в̶н̶о̶ ПХПой.

в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать

гении, чо

Вот вам про ваш любимый компостер.
Читайте, наслаждайтесь.

https://www.cve.org/CVERecord/SearchResults?query=composer

Кстати, на опеннете нет новостей про CVE про компостер или перловый CPAN. Только про NPM пишут. Хотя в компостере очень много CVE.

Питоны новомодное? Python, пожалуй, постарше Пыха будет.

не-не-не, я не говорил, я говорил, что нода такое же убожество, как сам JS, в частности в новости про Bun писиал про ненужное, но всё потерли

> Уязвимость проявляется в экспериментальных компонентах

А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного".
А тут такая трагедия.

странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей

Этот язык - альма матер всех сеньоров-растокодеров

не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )

Можно просто прочесть статью и там все будет понятно расписано

Реакт умеет SSR.

В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков.

Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.

Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!

Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 .

Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно.

В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.

О! Кто-то прошёл по ссылкам, разобрался в теме и добавил в новость ответ на мой вопрос.

Спасибо тебе, Человечище!

Нечего не понял. Реакт это же какая-то там javascript библиотека для добавления анимации на страницы, откуда там что-то на севере.

Так-то реакт разворачивается на сервере. В проде это нгинкс, в деве - нода. JS очень давно пользуется в бэкендах, вот то что нода не популярна для бэкенда в России и СНГ, это да. А вот на западе всякие стартапы пользуют обычно ноду. Кстати, только на ЛОРе и Опеннете такой хэйт JS, на западе не хэйтят JS.

ЖС отличный язык, сам по себе.

Но вот область применения у него так себе.

Да нет, это ужаснейший отвратительный язык. У него performance хороший (спасибо браузерам) и хорошая экосистема (тулинг)