forum.opennet.ru - "Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере" (17)

"Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (?), 04-Дек-25, 11:50
В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64373
Ответить \| Правка \| Cообщить модератору

Оглавление

PHP-дыряв Кричали они PHP-неактуален Вторили им, другие А вот нода, питоны и , Мохнонос (?), 11:50 , 04-Дек-25, (1)

От этой новости ПЫХа менее дырявой не стала Тут теорема г-на Эскобара во всей кр, Аноним (-), 11:55 , 04-Дек-25, (2) +6
в php подобные штуки были из коробки allow_url_include и т п , а тут люди спец, Аноним (8), 12:25 , 04-Дек-25, (8) +3
Вот вам про ваш любимый компостер Читайте, наслаждайтесь https www cve org CVE, Аноним (14), 13:28 , 04-Дек-25, (14)
Кстати, на опеннете нет новостей про CVE про компостер или перловый CPAN Только, Аноним (14), 13:30 , 04-Дек-25, (16)

Скрыто модератором, Аноним (-), 11:56 , 04-Дек-25, (3)
странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей, 12yoexpert (ok), 11:58 , 04-Дек-25, (5)

Скрыто модератором, Аноним (6), 12:06 , 04-Дек-25, (6)

не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, , Анонисссм (?), 12:24 , 04-Дек-25, (7) –2

Можно просто прочесть статью и там все будет понятно расписано, Аноним (11), 12:42 , 04-Дек-25, (11) +1
Реакт умеет SSR , Аноним (14), 13:38 , 04-Дек-25, (18)

В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошла, Аноним (9), 12:33 , 04-Дек-25, (9)
Вот прогресс Просто закидываешь комманды на сервер и получаешь ответ RPC некур, Аноним (10), 12:37 , 04-Дек-25, (10)
Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправ, Аноним (12), 13:10 , 04-Дек-25, (12)

О Кто-то прошёл по ссылкам, разобрался в теме и добавил в новость ответ на мой , Аноним (12), 13:27 , 04-Дек-25, (13)

Нечего не понял Реакт это же какая-то там javascript библиотека для добавления , Аноним (15), 13:28 , 04-Дек-25, (15)

Так-то реакт разворачивается на сервере В проде это нгинкс, в деве - нода JS о, Аноним (14), 13:37 , 04-Дек-25, (17)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Мохнонос (?), 04-Дек-25, 11:50

PHP-дыряв! Кричали они.
PHP-неактуален! Вторили им, другие.
А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в серверных компонентах React, позволяющая выполн..." +6 +/–

Сообщение от Аноним (-), 04-Дек-25, 11:55

От этой новости ПЫХа менее дырявой не стала)
Тут теорема г-на Эскобара во всей красе.
> питоны и прочее новомодное
Причем тут питон, если нода на JS написана??
Но тебя никто не заставляет им пользоваться.
Можешь обмазываться ̶о̶в̶н̶о̶ ПХПой.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в серверных компонентах React, позволяющая выполн..." +3 +/–

Сообщение от Аноним (8), 04-Дек-25, 12:25

в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать
гении, чо

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (14), 04-Дек-25, 13:28

Вот вам про ваш любимый компостер.
Читайте, наслаждайтесь.
https://www.cve.org/CVERecord/SearchResults?query=composer

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (14), 04-Дек-25, 13:30

Кстати, на опеннете нет новостей про CVE про компостер или перловый CPAN. Только про NPM пишут. Хотя в компостере очень много CVE.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. Скрыто модератором +/–

Сообщение от Аноним (-), 04-Дек-25, 11:56

> Уязвимость проявляется в экспериментальных компонентах
А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного".
А тут такая трагедия.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от 12yoexpert (ok), 04-Дек-25, 11:58

странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором +/–

Сообщение от Аноним (6), 04-Дек-25, 12:06

Этот язык - альма матер всех сеньоров-растокодеров

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в серверных компонентах React, позволяющая выполн..." –2 +/–

Сообщение от Анонисссм (?), 04-Дек-25, 12:24

не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в серверных компонентах React, позволяющая выполн..." +1 +/–

Сообщение от Аноним (11), 04-Дек-25, 12:42

Можно просто прочесть статью и там все будет понятно расписано

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (14), 04-Дек-25, 13:38

Реакт умеет SSR.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (9), 04-Дек-25, 12:33

В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков.
Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (10), 04-Дек-25, 12:37

Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (12), 04-Дек-25, 13:10

Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 .
Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно.
В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (12), 04-Дек-25, 13:27

О! Кто-то прошёл по ссылкам, разобрался в теме и добавил в новость ответ на мой вопрос.
Спасибо тебе, Человечище!

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (15), 04-Дек-25, 13:28

Нечего не понял. Реакт это же какая-то там javascript библиотека для добавления анимации на страницы, откуда там что-то на севере.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в серверных компонентах React, позволяющая выполн..." +/–

Сообщение от Аноним (14), 04-Дек-25, 13:37

Так-то реакт разворачивается на сервере. В проде это нгинкс, в деве - нода. JS очень давно пользуется в бэкендах, вот то что нода не популярна для бэкенда в России и СНГ, это да. А вот на западе всякие стартапы пользуют обычно ноду. Кстати, только на ЛОРе и Опеннете такой хэйт JS, на западе не хэйтят JS.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Мохнонос (?), 04-Дек-25, 11:50
PHP-дыряв! Кричали они. PHP-неактуален! Вторили им, другие. А вот нода, питоны и прочее новомодное - единственное правильное решение! Хором заявили они же, совместно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+6 +/–
	Сообщение от Аноним (-), 04-Дек-25, 11:55
	От этой новости ПЫХа менее дырявой не стала) Тут теорема г-на Эскобара во всей красе. > питоны и прочее новомодное Причем тут питон, если нода на JS написана?? Но тебя никто не заставляет им пользоваться. Можешь обмазываться ̶о̶в̶н̶о̶ ПХПой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+3 +/–
	Сообщение от Аноним (8), 04-Дек-25, 12:25
	в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать гении, чо
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	14. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:28
	Вот вам про ваш любимый компостер. Читайте, наслаждайтесь. https://www.cve.org/CVERecord/SearchResults?query=composer
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:30
	Кстати, на опеннете нет новостей про CVE про компостер или перловый CPAN. Только про NPM пишут. Хотя в компостере очень много CVE.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. Скрыто модератором	+/–
Сообщение от Аноним (-), 04-Дек-25, 11:56
> Уязвимость проявляется в экспериментальных компонентах А ведь когда в nginx была дырень, то все кричали "это экспериментальная фича, ничего страшного". А тут такая трагедия.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от 12yoexpert (ok), 04-Дек-25, 11:58
странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. Скрыто модератором	+/–
	Сообщение от Аноним (6), 04-Дек-25, 12:06
	Этот язык - альма матер всех сеньоров-растокодеров
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Уязвимость в серверных компонентах React, позволяющая выполн..."	–2 +/–
Сообщение от Анонисссм (?), 04-Дек-25, 12:24
не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента )
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+1 +/–
	Сообщение от Аноним (11), 04-Дек-25, 12:42
	Можно просто прочесть статью и там все будет понятно расписано
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:38
	Реакт умеет SSR.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

9. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (9), 04-Дек-25, 12:33
В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков. Прошло почти 20 лет, и вот оно снова. Ждём интересных взломов.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (10), 04-Дек-25, 12:37
Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика!
Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (12), 04-Дек-25, 13:10
Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 . Итого: 1 коммит, 270 строк удалено, 710 строк добавлено. Какой-то рефакторинг, какие-то функциональные изменения. Они там перед релизом все изменения в один коммит сквошат? Этакий опенсорз от фейсбука, чтоб было не очевидно есть в коде проблемы или нет (что собственно и привело к таким уязвимостям)? Спасибо хоть не обфусцировали, хотя уже и неважно. В общем, не настолько мне интересно, где конкретно они накосячили, чтоб в их испражнениях ковыряться. Буду думать, что просто миллион обезьян посадили за компьютер, а когда оно перестало выдавать синтаксические ошибки, закоммитили в релиз.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (12), 04-Дек-25, 13:27
	О! Кто-то прошёл по ссылкам, разобрался в теме и добавил в новость ответ на мой вопрос. Спасибо тебе, Человечище!
	Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
Сообщение от Аноним (15), 04-Дек-25, 13:28
Нечего не понял. Реакт это же какая-то там javascript библиотека для добавления анимации на страницы, откуда там что-то на севере.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в серверных компонентах React, позволяющая выполн..."	+/–
	Сообщение от Аноним (14), 04-Дек-25, 13:37
	Так-то реакт разворачивается на сервере. В проде это нгинкс, в деве - нода. JS очень давно пользуется в бэкендах, вот то что нода не популярна для бэкенда в России и СНГ, это да. А вот на западе всякие стартапы пользуют обычно ноду. Кстати, только на ЛОРе и Опеннете такой хэйт JS, на западе не хэйтят JS.
	Ответить \| Правка \| Наверх \| Cообщить модератору