OpenForum RSS: Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере https://89.19.215.112/openforum/vsluhforumID3/138557.html В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64373<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/138557.html#75 Thu, 01 Jan 2026 01:32:20 GMT Не пойму YouTube-то взломали в конце концов или нет?<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/138557.html#74 Tue, 16 Dec 2025 14:53:43 GMT &gt;Ты шаблон на каком ЯП делать будешь ?<br><br>Ну на PHP, например?<br><br>&gt;и это в едином фреймворке<br><br>А зачем - в JS есть куча шаблонизаторов чтобы готовую страничку отдать клиенту.<br>Ведь не может же так быть, что погромист настолько зашорен, что кроме реакта ничего не знает и не понимает. Правда, же не может такого быть?<br><br>&gt;что веб изменился ещё лет 10-15 назад относительно того что ты говоришь и сильно<br><br>На сервере ничего не изменилось. Просто неосиляторы(энтузиасты жабаскрипта) решили притащить туда клиентские фреймворки.<br><br>&gt;Т.е получается, что с сервера может приходить не просто пустая заготовка, а готовый сайт<br><br>Невероятно! НЕМЫСЛИМО! С УМА СОЙТИ! Прямо с сервера, ГОТОВЫЙ HTML? Фнтастика! Вот бы на Опеннете, например так можно было сделать. <br>&gt;приём, с нужным уровень вложенности/навигации и конкретным состоянием( под конкретного пользователя.<br><br>Ну надо же! Раньше-то ни логинов ни регистраций не было а про сессии и не мечтали.<br><br>&gt;Если ты даже о состояниях на клиенте не понимаешь<br><br>Вот и именно, что это у тебя Уязвимость в серверных компонентах React, позволяющая выполн... (Смузихлеб забывший пароль) https://89.19.215.112/openforum/vsluhforumID3/138557.html#73 Sat, 13 Dec 2025 08:10:43 GMT Ты шаблон на каком ЯП делать будешь ?<br>Вдобавок ко всему, что есть возможность отдавать лишь некоторые элементы готовыми, а некоторые, второстепенные - запрашивающимися с клиента и это в едином фреймворке и ЯП<br>Причём, при некоторых усилиях, те элементы могут работать даже без жс - т.е не только на уровне обработчиков нажатий кнопок, но и как элементы классических форм<br><br>Проблема в том, что ты не понимаешь, что веб изменился ещё лет 10-15 назад относительно того что ты говоришь и сильно<br>Даже базовых нюансов не понимаешь<br><br>[едва ли, но попытаюсь хотя бы намекнуть] Продвинутые формы реакта с серверной отрисовкой позволяют в весьма сжатом виде передать нужное готовое содержимое без необходимости долгих запросов с клиента. И напомню про допиленные штуки вроде браузерной навигации через жс и многого иного.<br>Т.е получается, что с сервера может приходить не просто пустая заготовка, а готовый сайт, приём, с нужным уровень вложенности/навигации и конкретным состоянием( под конкретного пользователя. Если ты даже о Уязвимость в серверных компонентах React, позволяющая выполн... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/138557.html#72 Wed, 10 Dec 2025 13:22:10 GMT Вот даже то, что ты написал уже немножечко дурдомом попахивает. Получить данные из БД -&gt; подставить их в шаблон -&gt; вернуть строку(HTML) - на каком этапе тут вообще может понадобиться реакт с JSX со всеми его стейтами и пропсами? Мало того, если ты делаешь "отрисовку на сервере", то логичнее всего исходить, из того что у клиента всё должно работать не только без реакта, но и без жабаскрипта вообше. А уж потом дописать REST и добавить свой бандл.жс на страничку.<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Смузихлеб забывший пароль) https://89.19.215.112/openforum/vsluhforumID3/138557.html#71 Wed, 10 Dec 2025 11:31:32 GMT Жесть. Ты реально не понимаешь о чём пишешь, даже близко<br>Всм, могут быть иные "гении", ещё и с тайпскриптом, которые даже простейший код в мусорку превратят<br><br>Реакт с серверной отрисовкой - это комбинация самого реакта( на клиенте/браузере ) + штуки без него( т.е без жс. Но с генерацией в перспективе ответа на запрос чтобы всё норм выглядело и работало ) + штуки на сервере в т.ч с запросами к БД + штуки с полученными с сервера данными но сериализованными( т.е приведёнными к текстовой строке ) + на клиенте принятыми и распарсенными в т.ч в плане восстановления исходного состояния( хранилища состояний разные есть для реакта ) и накатывания данных на хранилища состояний( что в принципе отдельный модуль и может сильно различаться ) вплоть до логина( ну и вся необходимая вёрстка само-собой )<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/138557.html#70 Tue, 09 Dec 2025 14:59:48 GMT Откуда в JSX наглядность-то возьмётся, а уж тем более с самодокументируемостью?<br>&gt;Просто часть "отрисовывается" сразу на сервере при запросе<br><br>Ну, собсна, как во многих других фреймворках<br>&gt;и всё это при едином синтаксисе<br><br>А зачем? В браузере это вынужденная мера - либо тонны коллбэков, либо эта шляпа с реактом - из двух зол выбирают меньшее. Но на сервере это можно использовать только если погромист настолько тупой, что кроме реакта ничего не осилил (или жабаскриптеры не осилили написать нормальный шаблонизатор)<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Смузихлеб забывший пароль) https://89.19.215.112/openforum/vsluhforumID3/138557.html#69 Tue, 09 Dec 2025 10:30:52 GMT чуваак, похоже, ты просто не понимаешь сути дела. Там в любом случае самопальных тегов в итоге нет если это прод - оно всё в итоге конвертируется в HTML/CSS/JS и в таком виде идёт на клиент но изначально за счёт персональных тегов вёрстка становится наглядной и "самодокументируемой" если это не переусложнять мусором вроде тайпскрипта<br>Просто часть "отрисовывается" сразу на сервере при запросе( а порой и кешируется ), а часть - уже на клиенте и всё это при едином синтаксисе<br><br>Либо разбирайся, либо - не надо лезть. Но то что написано - это удивительная глупость<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Аноним) https://89.19.215.112/openforum/vsluhforumID3/138557.html#68 Mon, 08 Dec 2025 15:54:11 GMT Ну с сервера же обычный HTML отдаётся, без самопальных тэгов? Если так, то этот же HTML можно отрендерить чем угодно. И это "что угодно" (кроме printf) будет удобнее и проще JSX.<br> Уязвимость в серверных компонентах React, позволяющая выполн... (Смузихлеб забывший пароль) https://89.19.215.112/openforum/vsluhforumID3/138557.html#67 Mon, 08 Dec 2025 08:55:04 GMT Как ИМЕННО ?<br>Тут идея в том, что у тебя именно нормальная реактовская вёрстка или её часть, со всеми приблудами, "отрисовывается" на сервере и отдаётся готовой при первом посещении<br>Т.е, условно говоря, при открытии страницы, сразу отображается иконка профиля( и возможность зайти в него или в какие-то иные разделы ), но список товаров или новостей уже подгружается по ходу дела<br><br>Для пехепе нужно пилить на пехепе, а не на реакте и тащить хрень вроде жиквери<br>Это примерно как плату с поверхностным монтажом паять утюгом на угле, а то и куском раскалённого в костре камня<br>