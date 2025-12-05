ГК «Гарда»: обнаружена уязвимость в серверных компонентах React

В экосистеме React обнаружена критическая уязвимость в серверных компонентах React Server, которая позволяет злоумышленникам удаленно запускать произвольный код на сервере без аутентификации. Об этом CNews сообщили представители ГК «Гарда».

Уязвимость затрагивает сервисы, созданные на основе популярных фреймворков с открытым исходным кодом React Server Components. Проблема связана с тем, как React обрабатывает и декодирует данные, отправляемые на серверные функции (React Server Functions). React Server Functions используются для того, чтобы клиентский код мог вызывать функции, исполняемые на сервере. Запрос, отправленный из браузера, трансформируется в HTTP‑запрос к серверной конечной точке, в которой React анализирует полученные данные и вызывает соответствующую функцию. Ошибка была обнаружена именно на этом этапе ‒ при парсинге входящих данных. Атакующий, не проходя аутентификацию, может отправить вредоносный запрос и выполнить свой код на сервере.

1 декабря 2025 г. было выпущено исправление, и команда React начала работу с затронутыми хостинг-провайдерами и open-source проектами для его проверки, внедрения защитных мер и развертывания исправлений. 3 декабря 2025 г. уязвимость была зафиксирована как CVE-2025-55182 с максимальной оценкой критичности CVSS 10.0. Опубликован прототип эксплуатации PoC CVE-2025-55182 - React Server Components Prototype Chain Vulnerability. В ближайшее время ожидается появление множества средств эксплуатации уязвимости.

«Уязвимости такого масштаба неизбежно становятся мишенью для массовых атак, — отметил Лука Сафонов, бизнес-партнер по инновационному развитию группы компаний «Гарда». — Даже если используемое в компании приложение не обрабатывает запросы к React Server Function, оно все равно может быть уязвимым, если в нем включена поддержка React Server Components. Минимизировать риски и возможный ущерб помогают решения класса WAF, которые защищают от эксплуатации уязвимости нулевого дня и предотвращает взлом клиентских приложений и сервисов».