Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (?), 04-Дек-25, 11:50
В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64373
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+4 +/–
Сообщение от Мохнонос (?), 04-Дек-25, 11:50
PHP-дыряв! Кричали они. PHP-неактуален! Вторили им, другие. А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.
Ответить | Правка | Наверх | Cообщить модератору

	2. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+7 +/–
	Сообщение от Аноним (-), 04-Дек-25, 11:55
	От этой новости ПЫХа менее дырявой не стала) Тут теорема г-на Эскобара во всей красе. > питоны и прочее новомодное Причем тут питон, если нода на JS написана?? Но тебя никто не заставляет им пользоваться. Можешь обмазываться  ̶о̶в̶н̶о̶ ПХПой.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (27), 04-Дек-25, 14:40
	Нода на плюсах написана. Не путай с реактом, о котором речь в новости.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Самый Лучший Гусь (?), 04-Дек-25, 16:07
	У плюсов и js синтаксис сишный так что разница не аж до луны
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+6 +/–
	Сообщение от Аноним (8), 04-Дек-25, 12:25
	в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать гении, чо
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	14. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:28
	Вот вам про ваш любимый компостер. Читайте, наслаждайтесь. https://www.cve.org/CVERecord/SearchResults?query=composer
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	16. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:30
	Кстати, на опеннете нет новостей про CVE про компостер или перловый CPAN. Только про NPM пишут. Хотя в компостере очень много CVE.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	20. Скрыто модератором	+/–
	Сообщение от Аноним (20), 04-Дек-25, 13:59
	Питоны новомодное? Python, пожалуй, постарше Пыха будет.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	21. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от penetrator (?), 04-Дек-25, 14:01
	не-не-не, я не говорил, я говорил, что нода такое же убожество, как сам JS, в частности в новости про Bun писиал про ненужное, но всё потерли
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. Скрыто модератором	+/–
Сообщение от Аноним (-), 04-Дек-25, 11:56
> Уязвимость проявляется в экспериментальных компонентах А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного". А тут такая трагедия.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от 12yoexpert (ok), 04-Дек-25, 11:58
странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей
Ответить | Правка | Наверх | Cообщить модератору

	6. Скрыто модератором	+1 +/–
	Сообщение от Аноним (6), 04-Дек-25, 12:06
	Этот язык - альма матер всех сеньоров-растокодеров
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от User (??), 04-Дек-25, 14:38
	Ээээээ... а конкретно тут язык - при чем?
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	33. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от 12yoexpert (ok), 04-Дек-25, 15:27
	язык отличный, не зря ведь 95% им пользуются
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+1 +/–
	Сообщение от th3m3 (ok), 04-Дек-25, 14:46
	Серьёзный язык? Это ты про js? Хорошая шутка)) Язык гoвнокодеров. Некоторые сайты уже больше гига в памяти занимают и тормозят даже на мощном железе. Вот ради чего?
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	35. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 15:30
	Сайты тормозят по разным причинам: фингерпринт какой-нибудь, аналитика, ну или мэйнеры на помойных сайтах. И JS там ни при чём по сути. Смешно представить серьёзный язык. Это надо будет выковыривать уточки памяти на сайтиках на плюсах или на сишке (серьёзные язычки, лол).
	Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в серверных компонентах React, позволяющая выполн..."	–2 +/–
Сообщение от Анонисссм (?), 04-Дек-25, 12:24
не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )
Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+1 +/–
	Сообщение от Аноним (11), 04-Дек-25, 12:42
	Можно просто прочесть статью и там все будет понятно расписано
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:38
	Реакт умеет SSR.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (9), 04-Дек-25, 12:33
В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков. Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (10), 04-Дек-25, 12:37
Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (12), 04-Дек-25, 13:10
Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 . Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно. В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (12), 04-Дек-25, 13:27
	О! Кто-то прошёл по ссылкам, разобрался в теме и добавил в новость ответ на мой вопрос. Спасибо тебе, Человечище!
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Кошкажена (?), 04-Дек-25, 15:12
	> Они там перед релизом все изменения в один коммит сквошат? Вообще это нормальная практика, если все изменения по делу. А чтобы это понять, то нужно проекта знать.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	34. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (12), 04-Дек-25, 15:30
	> Вообще это нормальная практика А, ну тогда ладно. Напишу Торвальдсу на почту, чтоб не заморачивался и перед релизом ядра все коммиты сквошил в один.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (-), 04-Дек-25, 15:38
	> А, ну тогда ладно. Напишу Торвальдсу на почту, чтоб не заморачивался и > перед релизом ядра все коммиты сквошил в один. Какая тyпая аналогия /_- Тут весь код относящийся к одному фиксу превратили в один коммит. Атомарное изменение чтобы не писать Fix issue Fix issue (lost case) и тд Если тебе сильно не нравится - не делай так, но чего бухтеть?
	Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (15), 04-Дек-25, 13:28
Нечего не понял. Реакт это же какая-то там javascript библиотека для добавления анимации на страницы, откуда там что-то на севере.
Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+1 +/–
	Сообщение от Аноним (14), 04-Дек-25, 13:37
	Так-то реакт разворачивается на сервере. В проде это нгинкс, в деве - нода. JS очень давно пользуется в бэкендах, вот то что нода не популярна для бэкенда в России и СНГ, это да. А вот на западе всякие стартапы пользуют обычно ноду. Кстати, только на ЛОРе и Опеннете такой хэйт JS, на западе не хэйтят JS.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в серверных компонентах React, позволяющая выполн..."	–2 +/–
	Сообщение от Аноним (15), 04-Дек-25, 14:05
	ЖС отличный язык, сам по себе. Но вот область применения у него так себе.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+1 +/–
	Сообщение от Витюшка (?), 04-Дек-25, 14:12
	Да нет, это ужаснейший отвратительный язык. У него performance хороший (спасибо браузерам) и хорошая экосистема (тулинг)
	Ответить | Правка | Наверх | Cообщить модератору

	25. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 04-Дек-25, 14:30
	экосистема отличная, раз в неделю бедные копипастеры и председатели госсайтов поют ей оды
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Жироватт (ok), 04-Дек-25, 14:17
	== / ===
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	32. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (32), 04-Дек-25, 15:24
	Эксперименты, сэр.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

29. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от morphe (?), 04-Дек-25, 15:05
> не исключавшего подстановку прототипа Deno в очередной раз показал своё превосходство над другими JS рантаймами
Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 15:32
	Но Deno мало где используется, в РФ вакансий вообще на него нет.
	Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором	+/–
Сообщение от Аноним (32), 04-Дек-25, 15:24
Спас бы тут Раст? Вообще-то нет.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема