forum.opennet.ru - "Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере" (11)

"Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (?), 04-Дек-25, 11:50
В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64373
Ответить \| Правка \| Cообщить модератору

Оглавление

PHP-дыряв Кричали они PHP-неактуален Вторили им, другие А вот нода, питоны и , Мохнонос (?), 11:50 , 04-Дек-25, (1)

От этой новости ПЫХа менее дырявой не стала Тут теорема г-на Эскобара во всей кр, Аноним (-), 11:55 , 04-Дек-25, (2) +5
в php подобные штуки были из коробки allow_url_include и т п , а тут люди спец, Аноним (8), 12:25 , 04-Дек-25, (8) +3

Скрыто модератором, Аноним (-), 11:56 , 04-Дек-25, (3)
странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей, 12yoexpert (ok), 11:58 , 04-Дек-25, (5)

Скрыто модератором, Аноним (6), 12:06 , 04-Дек-25, (6)

не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, , Анонисссм (?), 12:24 , 04-Дек-25, (7) –1

Можно просто прочесть статью и там все будет понятно расписано, Аноним (11), 12:42 , 04-Дек-25, (11) +1

В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошла, Аноним (9), 12:33 , 04-Дек-25, (9)
Вот прогресс Просто закидываешь комманды на сервер и получаешь ответ RPC некур, Аноним (10), 12:37 , 04-Дек-25, (10)
Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправ, Аноним (12), 13:10 , 04-Дек-25, (12)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Мохнонос (?), 04-Дек-25, 11:50 +/–

PHP-дыряв! Кричали они.
PHP-неактуален! Вторили им, другие.
А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #8

2. Сообщение от Аноним (-), 04-Дек-25, 11:55 +5 +/–

От этой новости ПЫХа менее дырявой не стала)
Тут теорема г-на Эскобара во всей красе.
> питоны и прочее новомодное
Причем тут питон, если нода на JS написана??
Но тебя никто не заставляет им пользоваться.
Можешь обмазываться ̶о̶в̶н̶о̶ ПХПой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 04-Дек-25, 11:56 Скрыто ботом-модератором +/–

> Уязвимость проявляется в экспериментальных компонентах
А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного".
А тут такая трагедия.

Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от 12yoexpert (ok), 04-Дек-25, 11:58 +/–

странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 04-Дек-25, 12:06 Скрыто ботом-модератором +/–

Этот язык - альма матер всех сеньоров-растокодеров

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Анонисссм (?), 04-Дек-25, 12:24 –1 +/–

не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

8. Сообщение от Аноним (8), 04-Дек-25, 12:25 +3 +/–

в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать
гении, чо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

9. Сообщение от Аноним (9), 04-Дек-25, 12:33 +/–

В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков.
Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 04-Дек-25, 12:37 +/–

Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 04-Дек-25, 12:42 +1 +/–

Можно просто прочесть статью и там все будет понятно расписано

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от Аноним (12), 04-Дек-25, 13:10 +/–

Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 .
Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно.
В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Мохнонос (?), 04-Дек-25, 11:50	+/–
PHP-дыряв! Кричали они. PHP-неактуален! Вторили им, другие. А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #8

2. Сообщение от Аноним (-), 04-Дек-25, 11:55	+5 +/–
От этой новости ПЫХа менее дырявой не стала) Тут теорема г-на Эскобара во всей красе. > питоны и прочее новомодное Причем тут питон, если нода на JS написана?? Но тебя никто не заставляет им пользоваться. Можешь обмазываться ̶о̶в̶н̶о̶ ПХПой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 04-Дек-25, 11:56 Скрыто ботом-модератором	+/–
> Уязвимость проявляется в экспериментальных компонентах А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного". А тут такая трагедия.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. Сообщение от 12yoexpert (ok), 04-Дек-25, 11:58	+/–
странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 04-Дек-25, 12:06 Скрыто ботом-модератором	+/–
Этот язык - альма матер всех сеньоров-растокодеров
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Анонисссм (?), 04-Дек-25, 12:24	–1 +/–
не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11

8. Сообщение от Аноним (8), 04-Дек-25, 12:25	+3 +/–
в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать гении, чо
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

9. Сообщение от Аноним (9), 04-Дек-25, 12:33	+/–
В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков. Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. Сообщение от Аноним (10), 04-Дек-25, 12:37	+/–
Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Сообщение от Аноним (11), 04-Дек-25, 12:42	+1 +/–
Можно просто прочесть статью и там все будет понятно расписано
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

12. Сообщение от Аноним (12), 04-Дек-25, 13:10	+/–
Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 . Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно. В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.
Ответить \| Правка \| Наверх \| Cообщить модератору