"Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере" | +/– |  |
| Сообщение от opennews (?), 04-Дек-25, 11:50 | ||
В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимости присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от Мохнонос (?), 04-Дек-25, 11:50 | +1 +/– | |
PHP-дыряв! Кричали они. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #2, #8, #14, #16, #20, #21 | ||
| 2. Сообщение от Аноним (-), 04-Дек-25, 11:55 | +6 +/– | |
От этой новости ПЫХа менее дырявой не стала) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 3. Сообщение от Аноним (-), 04-Дек-25, 11:56 Скрыто ботом-модератором | +/– | |
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 5. Сообщение от 12yoexpert (ok), 04-Дек-25, 11:58 | +/– |  |
странно, вроде бы серьёзный язык для адекватныx взрослыx теxнарей | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #6 | ||
| 6. Сообщение от Аноним (6), 04-Дек-25, 12:06 Скрыто ботом-модератором | +/– | |
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 | ||
| 7. Сообщение от Анонисссм (?), 04-Дек-25, 12:24 | –2 +/– | |
не понимаю как реакт позволит выполнить код на сервере, если на сервере spring, а реакт у клиента ) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #11, #18 | ||
| 8. Сообщение от Аноним (8), 04-Дек-25, 12:25 | +4 +/– | |
в php подобные штуки были из коробки (allow_url_include и т.п.), а тут люди специально постарались, чтобы такое же сделать | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 9. Сообщение от Аноним (9), 04-Дек-25, 12:33 | +/– | |
В конце нулевых году похожая, практически идентичная уязвимость в xml-rpc обошлась одному финансовому сервису в полмиллиона долларов, которые увели суммарно со всех электронных кошельков. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 10. Сообщение от Аноним (10), 04-Дек-25, 12:37 | +/– | |
Вот прогресс! Просто закидываешь комманды на сервер и получаешь ответ! RPC некурильщика! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 11. Сообщение от Аноним (11), 04-Дек-25, 12:42 | +1 +/– | |
Можно просто прочесть статью и там все будет понятно расписано | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 | ||
| 12. Сообщение от Аноним (12), 04-Дек-25, 13:10 | +/– | |
Хотел понять, чем вызвана уязвимость, перешёл по ссылке на пулл-реквест с исправлением из новости https://github.com/facebook/react/pull/35277 . | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #13 | ||
| 13. Сообщение от Аноним (12), 04-Дек-25, 13:27 | +/– | |
О! Кто-то прошёл по ссылкам, разобрался в теме и добавил в новость ответ на мой вопрос. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 | ||
| 14. Сообщение от Аноним (14), 04-Дек-25, 13:28 | +/– | |
Вот вам про ваш любимый компостер. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 15. Сообщение от Аноним (15), 04-Дек-25, 13:28 | –1 +/– | |
Нечего не понял. Реакт это же какая-то там javascript библиотека для добавления анимации на страницы, откуда там что-то на севере. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #17 | ||
| 16. Сообщение от Аноним (14), 04-Дек-25, 13:30 | +1 +/– | |
Кстати, на опеннете нет новостей про CVE про компостер или перловый CPAN. Только про NPM пишут. Хотя в компостере очень много CVE. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 17. Сообщение от Аноним (14), 04-Дек-25, 13:37 | +/– | |
Так-то реакт разворачивается на сервере. В проде это нгинкс, в деве - нода. JS очень давно пользуется в бэкендах, вот то что нода не популярна для бэкенда в России и СНГ, это да. А вот на западе всякие стартапы пользуют обычно ноду. Кстати, только на ЛОРе и Опеннете такой хэйт JS, на западе не хэйтят JS. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #15 Ответы: #22 | ||
| 18. Сообщение от Аноним (14), 04-Дек-25, 13:38 | +/– | |
Реакт умеет SSR. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 | ||
| 20. Сообщение от Аноним (20), 04-Дек-25, 13:59 Скрыто ботом-модератором | +/– | |
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 21. Сообщение от penetrator (?), 04-Дек-25, 14:01 | +/– | |
не-не-не, я не говорил, я говорил, что нода такое же убожество, как сам JS, в частности в новости про Bun писиал про ненужное, но всё потерли | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 22. Сообщение от Аноним (15), 04-Дек-25, 14:05 | +/– | |
ЖС отличный язык, сам по себе. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 Ответы: #23, #24 | ||
| 23. Сообщение от Витюшка (?), 04-Дек-25, 14:12 | +/– | |
Да нет, это ужаснейший отвратительный язык. У него performance хороший (спасибо браузерам) и хорошая экосистема (тулинг) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #22 | ||
| 24. Сообщение от Жироватт (ok), 04-Дек-25, 14:17 | +/– |  |
== / === | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #22 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
