😳 Миллионы веб-приложений под угрозой: в React Server Components нашли уязвимость максимального уровня опасности React — один из самых популярных открытых фреймворков для веб-разработки. С его помощью созданы миллионы сайтов, корпоративных сервисов, интернет-магазинов и других приложений — все, чем мы пользуемся каждый день. Чтобы такие приложения работали быстрее, часть логики переносится на сервер через механизм React Server Components (RSC). И именно там 3 декабря была обнаружена критическая уязвимость PT-2025-48817 (CVE-2025-55182). 💡 Недостаток безопасности связан с тем, как серверная часть React принимает данные от клиента: сервер получает пакет данных и должен убедиться, что внутри нет ничего вредоносного. Но из-за ошибки он фактически не проверяет содержимое как следует. В результате хакер может отправить специальный запрос, который сервер воспримет как легитимный и выполнит команды, скрытые внутри. Злоумышленник потенциально может без авторизации выполнить на сервере свой код — достаточно специально составленного HTTP-запроса и приложения, использующего функции для выполнения кода. Это может дать ему полный доступ к серверу: возможность менять файлы, получать данные и выполнять любые другие действия. Более того, уязвимость затрагивает все фреймворки, основанные на React, включая Next.js, что еще больше расширяет поверхность атаки, отмечает Егор Подмоков, руководитель отдела экспертизы MaxPatrol VM. В качестве аналогии можно представить охранника, которому сотрудники передают записки с командами вроде «включи свет» или «открой кабинет». Охранник должен проверять подпись, но из-за ошибки перестал это делать и исполняет любую записку. Хакеру достаточно подбросить свою — «открой серверную и дай доступ ко всему», — и охранник это выполнит. ⚠ Проблема получила максимальную оценку опасности — 10 из 10 по CVSS — и требует срочного устранения. Крупные облачные провайдеры уже добавили правила для блокировки атак в своих продуктах класса web application firewall. Наш продукт PT Application Firewall защищает от эксплуатации обнаруженной уязвимости. Для устранения недостатка необходимо обновить React и связанные пакеты (в том числе транзитивные зависимости) до безопасных версий: 19.0.1, 19.1.2, 19.2.1. Если используется Next.js — обновить до релизов, где уязвимость исправлена (например, 15.0.5, 15.1.9, 15.2.6 и выше; для ветки 16 — 16.0.7; для ветки 14 необходима миграция на версии 15 или 16). Уязвимость уже получила внимание всего профессионального сообщества, и единственный способ снизить риски — оперативно установить обновления 🤝