В начале декабря была выявлена серьезная уязвимость в фреймворке React, которая получила несколько названий: CVE-2025−55 182, React4Shell и React2Shell. Хостинг-провайдеры начали срочные рассылки своим клиентам с просьбой проверить свои сайты на наличие этой проблемы. Но насколько это реально опасно для вашего бизнеса? Давайте разберемся.
В чем суть уязвимости?
Уязвимость позволяет злоумышленникам отправить на сервер специальный запрос, который может привести к выполнению кода на вашем сервере. Это означает, что мошенники могут изменить содержимое вашего сайта, не имея доступа к системе. Проще говоря, с помощью браузера они могут влиять на то, что происходит на сервере, где размещен ваш сайт.
Какие сайты подвержены риску?
Не все сайты с React затронуты уязвимостью. Проблема касается только тех сайтов, на которых используется механизм React Server Components (RSC).
Например, сайты, разработанные в Qmedia.by, не используют этот механизм, поэтому владельцы таких сайтов могут не переживать: их ресурсы этой уязвимостью не затронуты.
Что такое React Server Components?
React Server Components (RSC) — это особый компонент, который позволяет выполнять функции и формировать части страницы на сервере, а не в браузере. Процесс выглядит так: клиентский React-компонент отправляет запрос на сервер, и сервер выполняет нужную функцию, возвращая результат.
Проще говоря, это когда браузерный компонент работает не только в браузере, но и на сервере.
Попадают ли все сайты с React Server Components под уязвимость?
Нет. Уязвимость затрагивает версии React Server Components с 19.0.0
Точно так же, пользователи Next.js (версии с 15.0.4 по 16.0.6) должны обновить фреймворк до версии 16.0.7 или выше. В новых версиях Next.js RSC включен по умолчанию, что важно учитывать при обновлениях.
Какие библиотеки еще могут быть уязвимы?
Некоторые популярные библиотеки и фреймворки на основе React, такие как React Router, Redwood SDK и Waku, также могут быть подвержены этой уязвимости. Кроме того, уязвимые серверные компоненты входят в такие плагины как Vite и Parcel.
Как защититься и устранить уязвимость?
Если вы не являетесь разработчиком, не пытайтесь устранить проблему самостоятельно. Это требует профессиональных знаний. Для устранения уязвимости разработчикам нужно обновить React до версии 19.0.1 или выше, а Next.js — до версии 16.0.7 или выше.
В промежутке, пока идет обновление, рекомендуется включить защиту со стороны сервера, используя WAF/NGFW-правила для блокировки атак типа React4Shell.
Важно: если ваш сайт использует очень старую версию React, обновление до последней версии может вызвать несовместимость с другими компонентами. В этом случае обновление может потребовать значительных усилий. Тем не менее, игнорировать проблему нельзя, иначе ваш сайт останется уязвимым.
Важное напоминание
Если вы не уверены, подвержен ли ваш сайт уязвимости, лучше всего проконсультироваться с профессионалами. Безопасность вашего бизнеса напрямую зависит от защищенности вашего сайта.
Если у вас возникли вопросы или вам нужно помочь с обновлением, обратитесь к нам. Мы сделаем все, чтобы ваш сайт был защищен от возможных угроз.
1
Комментарии