Команда React обнаружила уязвимость в компоненте React Server Components с оценкой опасности 10 из 10. До 25 тыс. русских сайтов под угрозой. Positive Technologies и Bi.Zone призвали срочно обновить компоненты для предотвращения атак.
Команда разработчиков JavaScript-библиотеки React, предназначенной для создания пользовательских интерфейсов, уведомила о выявлении крайне серьёзной уязвимости в одном из своих компонентов.
Её опасность оценена в 10 из 10 баллов, что является максимальной отметкой. В зоне риска оказались до 25 тысяч русских сайтов.React предоставляет возможность разработки и сборки сложных интерфейсов, состоящих из отдельных кодовых единиц, называемых компонентами. С помощью этой библиотеки можно создавать различные приложения или игры с мультифункциональными опциями, позволяющими поддерживать и связать их между собой.
Уязвимость обнаружена в React Server Components — компоненте, представленном в 2020 году. В отличие от клиентских компонентов, исполняемых в браузере, эти компоненты для ускорения процесса обрабатываются на сервере. Уязвимость получила максимальную оценку 10 из 10 баллов по соответствующей шкале, что даёт возможность злоумышленнику без аутентификации запустить произвольный код на взломанном сервере.
Егор Подмоков, занимающий должность руководителя отдела экспертизы MaxPatrol VM в компании Positive Technologies, пояснил, что для реализации атаки потребуется создание HTTP-запроса и наличие приложения с функциями для исполнения кода. Это обстоятельство подвергает риску все фреймворки, основанные на React, подчеркнул он. Данная уязвимость фактически предоставляет злоумышленнику полный контроль над сервером.
По нашим оценкам, новая критическая уязвимость затрагивает от 10 до 25 тысяч русских веб-ресурсов, включая сайты малого бизнеса и сервисы подрядчиков. Рекомендуется оперативно обновить уязвимые компоненты, — сообщил Павел Загуменнов, руководитель отдела решений анализа защищенности в компании Bi.Zone, в интервью ТАСС.
Свежие комментарии