Kik érintettek?
A sebezhetőség minden olyan alkalmazást fenyeget, amelyben engedélyezve van a React Server Components funkció – még akkor is, ha nincs kifejezetten megvalósítva szerverfunkció. Alapértelmezett konfigurációban érintett csomagok: react-server-dom-parcel, react-server-dom-turbopack és react-server-dom-webpack. A hiba a React 19.0, 19.1.0, 19.1.1, 19.2.0 verzióiban, valamint a Next.js 14.3.0-canary.77-től kezdődő kísérleti kiadásokban, illetve a 15.x és 16.x ág minden nem javított változatában megtalálható.
Továbbgyűrűző veszély és érintett ökoszisztéma
A gond nem korlátozódik pusztán ezekre a csomagokra. Minden olyan könyvtár, amely implementálja a React-szerverfunkciókat, mint például a Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, Redwood SDK és Waku, feltételezhetően ugyanilyen kockázatot jelent. A Wiz kiberbiztonsági kutatói szerint azokban a felhőkörnyezetekben, amelyekbe belelátnak, az esetek 39%-ában használnak sebezhető verziójú React- vagy Next.js-csomagot.
Hogyan lehet visszaverni a támadást?
A valós támadási lehetőség lényege, hogy a szerverek nem érvényesítik megfelelően az érkező adatok szerkezetét, így a támadók emelt jogosultságú JavaScript-kódot futtathatnak a háttérben. Megjelentek kamu proof-of-concept exploitok is, amelyek veszélyesnek tűnnek, de valójában nem működnek Next.js esetében, hiszen a szerveroldali függvénylistát a rendszer automatikusan kezeli.
A védelem érdekében gyorsan szükséges frissíteni: React esetében a 19.0.1, 19.1.2 és 19.2.1, Next.js-nél a 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 és 16.0.7 verziók biztonságosak. Az alkalmazást futtatók feladata, hogy átvizsgálják rendszereiket, s ha szükséges, mielőbb átálljanak a javított kiadásokra.
Miért különösen veszélyes?
A Reactot és a Next.js-t világszerte rengeteg fejlesztő használja: csak az npm platformján hetente több millió letöltés történik. Így a sérülékenység rövid idő alatt akár nagyvállalati rendszereket is lebéníthat, ha elmarad a sürgős frissítés és a biztonsági audit.
