Λιγότερο από μία εβδομάδα μετά την αντιμετώπιση μιας κρίσιμης ευπάθειας στην απομακρυσμένη εκτέλεση κώδικα (RCE), η ομάδα του React αποκάλυψε τρία επιπλέον ελαττώματα ασφαλείας που επηρεάζουν τα στοιχεία διακομιστή React (RSC).
Οι ερευνητές ασφαλείας ανακάλυψαν αυτά τα νέα ζητήματα ενώ προσπαθούσαν να παρακάμψουν τους μετριασμούς για την προηγούμενη εκμετάλλευση “React2Shell”.
Ενώ η αρχική ενημερωμένη έκδοση κώδικα RCE παραμένει αποτελεσματική, τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα εγκυμονούν κινδύνους σχετικά με την άρνηση παροχής υπηρεσιών (DoS) και τη μη εξουσιοδοτημένη έκθεση του πηγαίου κώδικα από την πλευρά του διακομιστή.
Η ομάδα του React τονίζει ότι οι προηγούμενες ενημερώσεις (εκδόσεις 19.0.2, 19.1.3 και 19.2.2) περιείχαν μια ελλιπή επιδιόρθωση, η οποία απαιτούσε μια άμεση δεύτερη αναβάθμιση.
Το πιο σοβαρό από τα νέα ελαττώματα (βαθμολογημένη Υψηλή Σοβαρότητα) περιλαμβάνει ένα διάνυσμα άρνησης υπηρεσίας. Οι ερευνητές ανακάλυψαν ότι ένα κακόβουλο αίτημα HTTP που αποστέλλεται σε ένα τελικό σημείο των Λειτουργιών διακομιστή μπορεί να ενεργοποιήσει έναν άπειρο βρόχο κατά τη διάρκεια της διαδικασίας αποσυναρμολόγησης του React.
Αυτό αναγκάζει τη διαδικασία του διακομιστή να “κολλάει” και να καταναλώνει διαθέσιμους πόρους CPU, με αποτέλεσμα να βγαίνει η εφαρμογή εκτός σύνδεσης.
Ένα ξεχωριστό ζήτημα Μέσης Σοβαρότητας επιτρέπει στους εισβολείς να χειρίζονται αιτήματα HTTP για να διαρρεύσουν τον πηγαίο κώδικα των Λειτουργιών διακομιστή. Ενώ τα μυστικά χρόνου εκτέλεσης (όπως οι μεταβλητές περιβάλλοντος) παραμένουν ασφαλή, τυχόν μυστικά ή λογική μέσα στη συνάρτηση θα μπορούσαν να αποκαλυφθούν.
Τα τρωτά σημεία παρακολουθούνται με τα ακόλουθα αναγνωριστικά:
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Αυστηρότητα | Βαθμολογία CVSS |
|---|---|---|---|
| CVE-2025-55184 | Άρνηση παροχής υπηρεσιών | Ψηλά | 7.5 |
| CVE-2025-67779 | Άρνηση υπηρεσίας (Παράκαμψη ενημέρωσης κώδικα) | Ψηλά | 7.5 |
| CVE-2025-55183 | Έκθεση πηγαίου κώδικα | Μέσον | 5.3 |
Εκδόσεις που επηρεάζονται
Αυτά τα τρωτά σημεία επηρεάζουν την react-server-dom-webpack, react-server-dom-parcelκαι react-server-dom-turbopack πακέτα. Οι χρήστες πλαισίων όπως το Next.js, το Waku και το React Router είναι πιθανό να επηρεαστούν.
Τα αρχικά μπαλώματα απελευθερώθηκε νωρίτερα αυτή την εβδομάδα ήταν ελλιπείς. Εάν εκτελείτε αυτήν τη στιγμή τις εκδόσεις 19.0.2, 19.1.3 ή 19.2.2, παραμένετε ευάλωτοι στην εκμετάλλευση DoS (CVE-2025-67779).
Οι προγραμματιστές πρέπει να αναβαθμίσουν στις ακόλουθες “ασφαλείς” εκδόσεις αμέσως:
- 19.0.x κλάδος: Αναβάθμιση σε 19.0.3
- 19.1.x κλάδος: Αναβάθμιση σε 19.1.4
- 19.2.x κλάδος: Αναβάθμιση σε 19.2.3
Η ομάδα του React σημείωσε ότι η ανακάλυψη επακόλουθων τρωτών σημείων είναι συνηθισμένη μετά από μια αποκάλυψη υψηλού προφίλ, κάνοντας παραλληλισμούς με το περιστατικό “Log4Shell”, όπου η κοινότητα διερεύνησε αποκάλυψε παρακείμενα ελαττώματα. Τα εύσημα για αυτές τις ανακαλύψεις πάνε στους ερευνητές Andrew MacPherson, RyotaK και Shinsaku Nomura.
