В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64373

• Уязвимость в серверных компонентах React, позволяющая выполн...,Мохнонос, 11:50 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 11:55 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:25 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 11:56 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,12yoexpert, 11:58 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:06 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Анонисссм, 12:24 , 04-Дек-25
  • Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:42 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:33 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 12:37 , 04-Дек-25
• Уязвимость в серверных компонентах React, позволяющая выполн...,Аноним, 13:10 , 04-Дек-25

PHP-дыряв! Кричали они.
PHP-неактуален! Вторили им, другие.
А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.

От этой новости ПЫХа менее дырявой не стала)
Тут теорема г-на Эскобара во всей красе.

> питоны и прочее новомодное

Причем тут питон, если нода на JS написана??

Но тебя никто не заставляет им пользоваться.
Можешь обмазываться  ̶о̶в̶н̶о̶ ПХПой.

в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать

гении, чо

> Уязвимость проявляется в экспериментальных компонентах

А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного".
А тут такая трагедия.

странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей

Этот язык - альма матер всех сеньоров-растокодеров

не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )

Можно просто прочесть статью и там все будет понятно расписано

В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков.

Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.

Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!

Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 .

Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно.

В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.