Hemen yama yapın! Kritik bir kötü amaçlı kod güvenlik açığı React'i tehdit ediyor

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

React ile çalışan yazılım geliştiricileri, güvenlik nedeniyle JavaScript program kitaplıklarını derhal güncellemelidir. Aksi takdirde saldırganlar bir güvenlik açığından yararlanabilir ve kötü amaçlı kod çalıştırarak sistemleri tamamen tehlikeye atabilir. Güvenlik güncellemeleri mevcut.

Duyurudan sonra devamını okuyun

Bir uyarı mesajı, React Server Bileşenlerinin “eleştirmen” En yüksek puana sahip (CVE-2025-55182) güvenlik açığı (CVE-2025-55182) etkilendi. Geliştiriciler, güvenlik açığının özellikle React 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinin aşağıdaki bileşenlerini tehdit ettiğini söylüyor:

  • tepki-sunucu-dom-webpack
  • tepki-sunucu-dom-parsel
  • tepki-sunucu-dom-turbopack

Ayrıca React ile oluşturulmuş ve React Server özelliklerini kullanmayan uygulamaların da muhtemelen savunmasız olduğunu söylüyorlar. Bunları kullanabilme ihtimali bile olası bir saldırı için yeterlidir.

Geliştiriciler güvenlik sorununun dosyada olduğundan emin olurlar Sürüm 19.0.1, 19.1.2 ve 19.2.1 çözdüler. React çerçeveleri ve sonraki paketleyiciler, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc ve rwsdk de savunmasızdır. Geliştiriciler bu durumlara karşı koruma sağlamak için bir çözüm sunmak istiyor. Yöneticiler yükseltme işlemi hakkında daha fazla bilgiyi uyarı mesajında ​​bulabilirler.

Saldırılar yakın mı?

Saldırılar uzaktan ve kimlik doğrulama olmadan mümkün olmalıdır. Uygulama geliştirme sırasında saldırganlar, istemci-sunucu iletişimi bağlamında HTTP isteklerini manipüle edebilir ve sonuçta kötü amaçlı kod çalıştırabilir. Güvenlik açığıyla ilgili daha fazla ayrıntı daha sonra açıklanacak.

Duyurudan sonra devamını okuyun

Bir güvenlik araştırmacısı, Log4j güvenlik açığına atıfta bulunarak React güvenlik açığına React2Shell adını verdi. Bununla ilgili X'teki gönderisinde bir hash değeri var. Bu noktada bu değerin kökeninin ne olduğu belli değil. Konsept İstismarı Kanıtı (PoC) ile bir bağlantı açıktır. Ancak bu, Tenable güvenlik araştırmacılarının şu anda standart konfigürasyonlara sahip örneklere saldırmak için bir PoC kanıtı bulunmadığı yönündeki açıklamasıyla çelişiyor.


(des)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir