Обнаружена критическая уязвимость в React Server Components

/ ТехнологииНовости / Технологии

Серверный мир, облачные сервисы и крупные провайдеры переживают непростые времена. После сбоя AWS в октябре и проблем с Cloudflare в последние недели, хотелось бы услышать хорошие новости из этого сектора. Увы, вместо этого обнаружена критическая уязвимость максимального уровня опасности в популярном фреймворке React Server Components, который широко используется на серверах по всему миру.

Разработчики выпустили тревожное заявление о критической уязвимости безопасности на этой неделе. Проблема, получившая максимальный рейтинг опасности в базе CVE, «позволяет выполнять несанкционированный удаленный код, используя ошибку в том, как React декодирует полезные данные, отправляемые на конечные точки React Server Function». Проще говоря, злоумышленник может через удаленный веб-запрос к серверу, работающему на React JavaScript или фреймворке на его основе, выполнить вредоносный код для извлечения данных, перехвата управления системами и других действий.

К счастью, разработчики React почти сразу создали исправление, хотя их сдержанная рекомендация «Мы рекомендуем немедленно обновиться» может оказаться недостаточной для предотвращения всех попыток эксплуатации уязвимости.

Проблема в масштабах: React и связанные с ним технологии используются огромным количеством известных веб-сервисов. По данным The Register, от него зависят Facebook и Instagram от Meta, Netflix, Airbnb, Shopify, Hello Fresh, Walmart и Asana. Учитывая, что React разрабатывается Meta, можно предположить, что их серверы уже защищены. Однако то же самое нельзя сказать обо всех остальных. По некоторым оценкам, уязвимость может присутствовать примерно в 39% всех облачных сред.

Этот инцидент вновь подчеркивает хрупкость современной интернет-инфраструктуры. Работа глобальной сети — настоящее чудо, но сбой в одном небольшом компоненте, будь то ошибка в конфигурации, как у Cloudflare, баг в ПО автоматизации, как у AWS, или уязвимость в популярном фреймворке, может иметь масштабные последствия. Даже если все экземпляры React будут оперативно обновлены, у администраторов серверов всегда остается множество других способов пережить очень неприятный день.

* Meta, Facebook и Instagram запрещены в России.

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

Топ дня 🌶️

282
7
3

0 комментариев

Оставить комментарий

Все комментарии - Технологии