Nowe luki w React RSC CVE-2025-55183 i CVE-2025-55184 budzą nowe obawy dotyczące bezpieczeństwa

Strona Główna » Python » Nowe luki w React RSC CVE-2025-55183 i CVE-2025-55184 budzą nowe obawy dotyczące bezpieczeństwa

dwa nowo ujawnione luki w zabezpieczeniach komponentów React Server (RSC) zwrócili szczególną uwagę na bezpieczeństwo nowoczesnych zapleczy JavaScript. Śledzone jako CVE-2025-55183 oraz CVE-2025-55184Wady te nie pozwalają na bezpośrednie zdalne wykonanie kodu, mogą jednak spowodować poważne zakłócenia poprzez odmowę usługi i niepożądane ujawnienie kodu źródłowego zaplecza, jeśli zostaną wykorzystane w odpowiednich warunkach.

Błędy te pojawiły się w ramach szerszego problemu przegląd bezpieczeństwa wywołany krytycznym problemem React2Shell (CVE-2025-55182), który już wcześniej był przedmiotem aktywnej eksploatacji w środowisku naturalnym. Chociaż nowe słabości są mniej poważne niż wcześniejsza luka CVSS 10.0, pokazują, jak po ujawnieniu krytycznego błędu, zarówno badacze, jak i atakujący zagłębiają się w jego szczegóły. sąsiadujące ścieżki kodu RSC poszukujące wariantowych technik ataku.

Kontekst: Od React2Shell do nowych luk w zabezpieczeniach RSC

Podobne artykuł:

React Router idzie naprzód dzięki komponentom serwerowym, trybom frameworka i otwartemu zarządzaniu

Gdy obrońcy i zespół React wdrożyli środki zaradcze dla React2Shell, badacze ds. bezpieczeństwa zaczęli badać zaktualizowany kod, aby sprawdzić, czy poprawki mogą być ominięte lub rozszerzone o nowe prymitywy eksploatacjiProces ten jest standardową praktyką w całej branży: po załataniu krytycznej luki w zabezpieczeniach, pobliska logika i interfejsy są intensywnie badane w celu wykrycia podobnych wzorców.

To właśnie w trakcie tych dalszych badań udokumentowano trzy powiązane błędy RSC: problem powodujący odmowę usługi (CVE-2025-55184), późniejsza, niekompletna poprawka o tym samym wpływie (CVE-2025-67779) oraz luka w ujawnianiu informacji (CVE-2025-55183). Chociaż CVE-2025-67779 ma również znaczenie dla bezpieczeństwa RSC, obecnie główny nacisk położony jest na zrozumienie nowe szczegółowe informacje o zachowaniu i wpływie CVE-2025-55183 i CVE-2025-55184.

Oprócz tej analizy technicznej, osoby reagujące na incydenty zaobserwowały ewolucję łańcuchów exploitów wokół React2Shell, gdzie atakujący łączą RCE z ładunkami poeksploatacyjnymi i ruchem bocznym. Ta ciągła aktywność zwiększa pilność działań organizacji w zakresie reagowania na incydenty. wszystkie powiązane luki w zabezpieczeniach RSC, w tym CVE-2025-55183 i CVE-2025-55184, jako część pojedynczej, rozwijającej się powierzchni ataku a nie odizolowane błędy.

Odkrycie i odpowiedzialne ujawnienie tych problemów pokazuje, jak szersza społeczność zajmująca się bezpieczeństwem, inżynierowie dostawców i łowcy błędów współpracować w celu wzmocnienia powszechnie używanych struktur, takich jak React, nawet gdy przeciwnicy próbują wykorzystać te same komponenty jako broń.

Szczegóły techniczne dotyczące CVE-2025-55184: odmowa usługi w funkcjach serwera

CVE-2025-55184 jest opisany jako podatność na ataki typu DoS (odmowa usługi) przed uwierzytelnieniem wpływających na komponenty React Server. Przyczyną problemu jest sposób, w jaki niektóre pakiety RSC obsługują deserializacja ładunków z żądań HTTP ukierunkowane na punkty końcowe funkcji serwera.

W wersjach podatnych na ataki specjalnie opracowane żądania mogą wywołać niebezpieczna logika deserializacji, która wpada w nieskończoną pętlęPo aktywowaniu tej pętli proces obsługujący funkcję serwera zostaje zawieszony, co prowadzi do stanu, w którym aplikacja nie jest już w stanie obsłużyć dalszego ruchu HTTP ani niezawodnie odpowiadać.

Wpływ jest szczególnie niepokojący, ponieważ lukę tę można wykorzystać przed wymuszeniem jakiegokolwiek uwierzytelnianiaInnymi słowy, atakujący nie potrzebuje ważnych danych uwierzytelniających ani podwyższonych uprawnień, aby podjąć próbę wykorzystania luki; strumień złośliwych żądań wystarczy, aby zablokować zasoby serwera i potencjalnie wyłączyć usługę opartą na RSC.

Zgodnie z opublikowaną oceną, CVE-2025-55184 niesie ze sobą Wynik podstawowy CVSS 7.5, co plasuje go w kategorii wysokiego ryzyka. Chociaż nie oferuje samodzielnego wykonania kodu, niezawodny atak DoS skierowany na kluczową część stosu zaplecza może nadal oznaczać ryzyko związane z dostępnością, naruszenia umowy o poziomie usług i wpływ na działalność operacyjną w dół łańcucha dostaw.

Podczas procesu łatania oddzielny identyfikator, CVE-2025-67779, został przypisany do niekompletnego rozwiązania tego problemu. Ta poprawka CVE usuwa pozostałe ścieżki, które nadal powodowały ten sam efekt odmowy usługi, podkreślając, jak zamykanie złożonych błędów deserializacji może wymagać wielu iteracji, aby objąć każdy przypadek brzegowy.

Szczegóły techniczne dotyczące luki CVE-2025-55183: Ujawnienie kodu źródłowego poprzez spreparowane żądania

W przypadku gdy CVE-2025-55184 koncentruje się na dostępności, CVE-2025-55183 dotyczy poufności. Ta luka jest charakteryzowana jako luka w komponentach serwera React umożliwiająca wyciek informacji co może spowodować zwrócenie kodu źródłowego niektórych funkcji serwera zdalnemu klientowi.

W przypadku wersji podatnych na ataki starannie zaprojektowane żądanie HTTP wysłane do narażonej funkcji serwera może wywołać zachowanie, w którym serwer odpowiada kodem bazowym dowolnej docelowej funkcji serweraTego rodzaju wyciek może ujawnić szczegóły implementacji, logikę biznesową, zakodowane na stałe ciągi znaków lub inne poufne informacje, które organizacje zazwyczaj przechowują wyłącznie po stronie serwera.

Jednakże wykorzystanie luki CVE-2025-55183 jest obwarowane określonym warunkiem wstępnym: musi istnieć co najmniej jeden Funkcja serwera, której interfejs udostępnia argument przekonwertowany na format ciągu, jawnie lub niejawnie. Dopiero gdy ten wzorzec występuje w użyciu RSC przez aplikację, luka staje się realna dla potencjalnego atakującego.

Przypisywanie ocen bezpieczeństwa wynik CVSS 5.3 według CVE-2025-55183, co plasuje go w zakresie średniego zagrożenia. Mimo to ujawnienie kodu źródłowego może być dalekie od nieszkodliwego. Znajomość wewnętrznych nazw funkcji, parametrów, obsługi błędów i przepływów danych może pomóc przeciwnikom w tworzeniu bardziej dostosowanych ataków, wykrywaj ukryte słabości i projektuj ataki phishingowe lub socjotechniczne, które będą bardziej zbliżone do rzeczywistego zachowania systemu.

Oprócz bezpośredniej wartości eksploatacyjnej, widoczność uzyskana dzięki wyciekowi kodu funkcji serwera może skutecznie przekształcić aplikację w jej własną plan przyszłych prób włamań, zwłaszcza w środowiskach, w których te same wzorce pojawiają się w wielu usługach.

Pakiety i wersje, których dotyczy problem w ekosystemie React RSC

Nowo udokumentowane luki dotyczą zestawu Pakiety integracyjne komponentów serwera React, a konkretnie implementacje, które łączą RSC z narzędziami do kompilacji i środowiska uruchomieniowego. Moduły, których to dotyczy, to:

• react-server-dom-parcel
• React-server-dom-turbopack
• react-server-dom-webpack

Zarówno w przypadku CVE-2025-55184, jak i CVE-2025-55183, zagrożone wersje obejmują wiele wydań 19.x. Zestaw podatnych wersji obejmuje: 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 i 19.2.1Zespoły programistyczne uruchamiające te wersje w środowisku produkcyjnym lub testowym muszą zakładać, że ich instancje może być podatny na odmowę usługi lub wyciek kodu źródłowego jeśli zostanie narażony na niezaufany ruch.

Ponadto niekompletna poprawka reprezentowana przez CVE-2025-67779 dotyczy wersji 19.0.2, 19.1.3 i 19.2.2Chociaż ten identyfikator wiąże się z tym samym rodzajem zachowania DoS co CVE-2025-55184, wskazuje on, że nawet zaktualizowane środowiska mogą pozostać częściowo narażone, jeśli zostaną wyposażone w te pośrednie wersje.

Zakres wersji, na które ma to wpływ, pokazuje, jak Szybki cykl iteracji RSC może komplikować zarządzanie poprawkami. Organizacje, które aktualizują sporadycznie lub ograniczają się do określonych wersji pomniejszych, mogą nie zdawać sobie sprawy, że nowo wydane wydanie przypada na okres objęty aktualizacją, co utrudnia uważne audytowanie wersji jest niezbędne.

Biorąc pod uwagę popularność ekosystemu React i rosnącą adopcję komponentów serwerowych w celu zwiększenia wydajności i doświadczenia programistów, pula aplikacji potencjalnie objętych CVE-2025-55183 i CVE-2025-55184 prawdopodobnie obejmie szerokie spektrum branż i modeli wdrożenia.

Wersje z poprawkami i zalecana ścieżka aktualizacji

Aby zaradzić tym lukom, zespół React wydał załatane wersje dla wszystkich trzech dotkniętych problemem pakietów RSCUżytkowników zachęca się do jak najszybszej migracji do następujących stałych wersji:

• 19.0.3
• 19.1.4
• 19.2.3

Według opiekunów aktualizacje te całkowicie złagodzić problem odmowy usługi ucieleśniony w CVE-2025-55184 i powiązanym CVE-2025-67779, a także ryzyko ujawnienia informacji opisane w CVE-2025-55183. Co istotne, wcześniejszy wektor React2Shell (CVE-2025-55182) jest również blokowany przez szerszy zestaw poprawek wydanych w gałęziach 19.x.

Zespoły odpowiedzialne za wdrożenia produkcyjne są zachęcane do traktowania tego jako zadanie konserwacyjne o wysokim priorytecie, zwłaszcza biorąc pod uwagę aktywną eksplorację luk w zabezpieczeniach RSC zarówno przez legalnych badaczy, jak i wrogich aktorów. W przypadku gdy natychmiastowe wdrożenie najnowszej linii pomniejszej nie jest możliwe, organizacje powinny co najmniej zapewnić nie są one zablokowane na żadnej z konkretnie wymienionych podatnych kompilacji.

Jak zawsze, aktualizacja bibliotek powinna iść w parze z testowanie i etapowe wdrożeniaDodanie kontroli regresji wokół krytycznych funkcji serwera, monitorowanie wskaźników błędów po uaktualnieniu i przeglądanie dzienników pod kątem nietypowej aktywności deserializacji lub serializacji może pomóc w zapewnieniu, że nowe wersje będą zachowywać się zgodnie z oczekiwaniami w warunkach rzeczywistego ruchu.

Szybka dostępność poprawek podkreśla stanowisko zespołu React, że wielokrotne ujawnianie informacji niekoniecznie oznacza nieudaną naprawę, lecz raczej zdrowy cykl reakcji, w którym głębia obronna poprawia się z czasem w miarę jak odkrywane i rozwiązywane są kolejne przypadki brzegowe i wariantowe ścieżki.

Jak odkryto i zgłoszono luki w zabezpieczeniach

Nowo udokumentowane wady odzwierciedlają trwającą współpracę między niezależni badacze bezpieczeństwa i program nagród za błędy MetaProblemy z odmową usługi, CVE-2025-55184 i następczy CVE-2025-67779, zostały zgłoszone przez RyotaK i Shinsaku Nomura, któremu przyznano zasługę za zidentyfikowanie, w jaki sposób złośliwe ładunki mogą wprowadzić RSC w stan braku reakcji.

Luka w zabezpieczeniach związana z wyciekiem informacji, CVE-2025-55183, zostało ujawnione przez Andrzej MacPherson, który podkreślił warunki, w których funkcja serwera może zwrócić własny kod źródłowy, gdy zostanie jej przedstawione starannie skonstruowane żądanie HTTP.

Odkrycia te pojawiły się, gdy naukowcy aktywnie próbowali przeprowadź test wytrzymałościowy istniejących zabezpieczeń przed CVE-2025-55182W ten sposób skutecznie odtworzyli rodzaj pracy analitycznej, jaką mogliby wykonać zidentyfikowani atakujący, ale w ramach odpowiedzialnego raportowania i skoordynowanej dystrybucji poprawek.

Zespół React publicznie przyznał, że takie wzorce są typowe dla branży oprogramowania, nie tylko w ekosystemie JavaScript. Gdy krytyczny błąd przyciągnie uwagę, zarówno programiści, jak i przeciwnicy będą go szukać strategie eksploatacji „wariantów” wzdłuż sąsiadujących ścieżek kodu, czasami ujawniając wcześniej przeoczone słabości.

Szybko i przejrzyście reagując na zgłoszenia CVE-2025-55183, CVE-2025-55184 i CVE-2025-67779, osoby odpowiedzialne za utrzymanie mają na celu: wyprzedzaj potencjalne uzbrojenie jednocześnie zapewniając organizacjom jasne wskazówki dotyczące zabezpieczania wdrożeń komponentów React Server.

Kontekst ryzyka: Dlaczego błędy niebędące RCE nadal mają znaczenie

Choć te nowe luki same w sobie nie dają atakującemu możliwości zdalnego wykonania kodu, nadal mogą być narzędzia o wysokiej wartości w szerszym zestawie do ochrony przed włamaniamiLuka powodująca odmowę usługi, taka jak CVE-2025-55184, może zostać wykorzystana w celu zakłócenia działalności, pełnić rolę zasłony dymnej rozpraszającej obrońców lub sprawdzać, jak odporna jest infrastruktura organizacji na nienormalne obciążenie.

Równolegle wektor ekspozycji kodu źródłowego, taki jak CVE-2025-55183 może być pomocny w działaniach rozpoznawczychDostęp do wewnętrznego tekstu funkcji serwera może ujawnić, jak uwierzytelniane są żądania, które parametry wpływają na dostęp do bazy danych, jak obsługiwane są błędy i gdzie zintegrowane są usługi stron trzecich. Ta wgląd jest nieoceniona dla atakujących próbujących przewidzieć bardziej precyzyjne lub ukryte próby wykorzystania luk.

W środowiskach, które już zmagają się ze skutkami React2Shell (CVE-2025-55182)Te dodatkowe słabości zwiększają złożoność ogólnego krajobrazu zagrożeń. Obrońcy są zmuszeni brać pod uwagę nie tylko natychmiastowe zapobieganie RCE, ale także stabilność i poufność zachowania RSC w przypadku złośliwych danych wejściowych.

Z perspektywy zarządzania sytuacja ta pokazuje, dlaczego programy zarządzania lukami w zabezpieczeniach muszą wykraczać poza przyciągające uwagę wyniki CVSS 10.0Błędy o średnim i wysokim stopniu zagrożenia, wpływające na dostępność i ujawnianie informacji, nadal mogą mieć decydujące znaczenie, zwłaszcza w połączeniu z innymi technikami w realistycznym łańcuchu ataków.

Ostatecznie te zmiany wzmacniają przekonanie, że utrzymanie bezpiecznych wdrożeń RSC nie jest jednorazowym wysiłkiem. Jest to raczej ciągły proces łatanie, monitorowanie, testowanie i sprawdzanie sposobu projektowania i udostępniania funkcji serwera w czasie.

W miarę jak kurz wokół awarii React2Shell i powiązanych z nią kolejnych odkryć opada, organizacje korzystające z komponentów React Server są zmuszane do ponownie przeanalizuj ich wersje zależności, wzmocnij interfejsy po stronie serwera i szybko reaguj na ostrzeżenia dotyczące bezpieczeństwaDzięki pozostawaniu na bieżąco z najnowszymi wersjami poprawek i integrowaniu kontroli bezpieczeństwa z procesami prac programistycznych, zespoły mogą znacznie ograniczyć ryzyko ataku na luki w zabezpieczeniach CVE-2025-55183, CVE-2025-55184 i powiązane luki RSC.