[Перевод] Уязвимость React2Shell: что произошло и какие уроки можно извлечь

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Уязвимость React2Shell: что произошло и какие уроки можно извлечь

01.01.2026 08:12:56 | Хабр

Хабы: JavaScript, ReactJS, Веб-разработка, Информационная безопасность

3 декабря 2025 года критическая уязвимость в серверных компонентах React (React Server Components, RSC) потрясла сообщество веб-разработчиков. Была обнаружена уязвимость React2Shell/React4Shell (CVE-2025-55182) с оценкой CVSS 10.0, что является максимальным баллом для уязвимостей. Ошибка позволяет удаленно выполнять код (Remote Code Execution, RCE) на любом сервере, работающем с RSC. В течение нескольких часов после обнаружения уязвимости китайские государственные группы и криптомайнинговые компании начали взламывать уязвимые серверы.

В этой статье подробно разбирается, что и почему произошло, а также как незначительное, на первый взгляд, проектное решение в протоколе React Flight превратилось в одну из самых серьезных уязвимостей React в 2025 году.

Мы также обсудим, как защитить себя и как эта уязвимость подчеркивает важнейшие принципы безопасности.

Читать далее

Подробнее

Читайте также

Продавцы потребовали запретить Ozon принимать возвраты товаров без их согласия
01.01.2026 08:00:38 | ferra.ru

Полупроводник для света?
01.01.2026 07:05:42 | Хабр

ATMO Shield: открытый инструмент для приватного мониторинга нервной системы на базе HRV и локального AI
31.12.2025 21:09:10 | Хабр

Илон Маск расширил свою «ИИ-империю», купив третье здание для суперкомпьютера
31.12.2025 21:00:38 | ferra.ru

О том как я сделал рабочий прототип своей ОС за 3 месяца
31.12.2025 20:32:26 | Хабр

В сеть утекли промо-изображение и характеристики нового Infinix Note Edge
31.12.2025 19:30:39 | ferra.ru

Postgresso #11-12 (84-85)
31.12.2025 18:29:20 | Хабр

Главред Ferra.ru назвал лучшие смартфоны 2025 года в бюджете от 18 до 40 тысяч рублей
31.12.2025 18:11:15 | ferra.ru

Китай потребовал от Нидерландов отменить «захват» производителя микросхем Nexperia
31.12.2025 18:00:39 | ferra.ru

Капсулы времени – жест доверия к эпохе, в которой нас уже нет
31.12.2025 17:53:33 | Хабр

Тимур Турлов объяснил, почему банки начали строить свои сети связи
31.12.2025 17:31:47 | ferra.ru

«2026: Битик Свободы. Как теорема Мучника предсказывает точку сингулярности данных»
31.12.2025 16:46:24 | Хабр

Деконструкция развлечений: как языковые модели помогают понять наши вкусы лучше нас самих
31.12.2025 15:17:12 | Хабр

[Перевод] Хороший, Плохой, Расширенный: SS7 атака с использованием расширенных тэгов
31.12.2025 15:15:40 | Хабр

Gemini 3 Flash против Pro: Google забрал 2025 год? Сравнение архитектуры, тестов и креатива
31.12.2025 15:01:33 | Хабр

Нейрослоп на нейрослопе: что под капотом у грядущей катастрофы
31.12.2025 14:59:53 | Хабр

Традиционный новогодний Хабрачат-2026
31.12.2025 14:49:16 | Хабр

Посещают конюшни и помогают фермам: Bloomberg Businessweek рассказало, как «вирусная» японская игра повысила интерес молодёжи к скачкам
31.12.2025 14:37:30 | vc.ru

Создание идеальной клавиатуры
31.12.2025 14:15:32 | Хабр

Как ИИ сдал экзамен по финансовому анализу и победил в математической олимпиаде — лучшие статьи декабря 2025
31.12.2025 14:05:18 | Хабр

Ускоряем индексацию нодлистов Фидонета при помощи Java Streams и Spring Data JDBC: перебираем нодлисты прямиком с СУБД
31.12.2025 14:01:35 | Хабр

Решил сделать себе смартфон на Линукс. Linux phone Xiaomi Poco X3 NFC на Ubuntu Touch по шагам
31.12.2025 13:15:27 | Хабр

Квиз в честь 100-летия поэмы Владимира Маяковского «Летающий пролетарий»
31.12.2025 13:01:50 | Хабр

Новый год с первого по двенадцатое. Как отдохнуть?
31.12.2025 13:01:22 | Хабр

Господдержка ИТ-отрасли в 2026 году: льготы остаются, требования ужесточаются
31.12.2025 12:59:46 | it-world

Компонентная модель WebAssembly: от Go 1.24 к 1.25 для интеграции с Rust
31.12.2025 12:59:17 | Хабр

Go 1.25 + Rust через Wasm
31.12.2025 12:59:17 | Хабр

Samsung Galaxy A03, или какой телефон хуже чем Redmi 10?
31.12.2025 12:46:39 | Хабр

Yii3. Официальный релиз
31.12.2025 12:37:42 | Хабр

Инцидент-менеджмент с нуля: практический гайд для растущих команд
31.12.2025 12:20:05 | Хабр

SPICE: анатомия протокола доставки рабочего стола
31.12.2025 12:16:15 | Хабр

StingrayTV Alice: путь от идеи до беты
31.12.2025 12:15:16 | Хабр

Как не быть лохом и зарабатывать на вайбкодинге в 2026: гайд по Lovable
31.12.2025 12:01:28 | Хабр

Кликер, ИБ-решето и 50 000 светодиодов: квест по блогу Позитива
31.12.2025 11:53:04 | Хабр

Локальный Tool Calling или «У нас есть BFCL-V4 дома»
31.12.2025 11:23:58 | Хабр

Смотреть все

НОВОСТИ

Первый энергоблок Курской АЭС-2 начал работу
01.01.2026 13:37:36 | РЕН ТВ

Пропавшего отца нашли спустя 25 лет похороненным недалеко от дома
01.01.2026 13:37:34 | РЕН ТВ

Число погибших при атаке ВСУ в Херсонской области превысило 24
01.01.2026 13:32:59 | РЕН ТВ

Пасечник назвал подлым удар украинских нацистов по кафе в Хорлах
01.01.2026 13:30:01 | ТАСС

Депутат Водолацкий заявил, что действия Киева идут вразрез усилиям Трампа
01.01.2026 13:29:37 | ТАСС

Власти Швейцарии сообщили о примерно ста раненных в Кран-Монтана
01.01.2026 13:29:00 | Российская Газета

В Краснодарском крае около 50 поездов задерживается на ж/д путях
01.01.2026 13:27:04 | ТАСС

В Одесской области повреждена портовая инфраструктура
01.01.2026 13:26:16 | ТАСС

Три человека погибли в новогоднюю ночь при пожаре в доме в Алтайском крае
01.01.2026 13:26:10 | РЕН ТВ

Россиянам напомнили о самом коротком рабочем месяце в году
01.01.2026 13:24:40 | Lenta.ru

Полиция Швейцарии подтвердила "несколько десятков" погибших на курорте
01.01.2026 13:22:54 | ТАСС

Захарова: Лидеры Запада увидят, что финансируют Киев для ударов по мирным жителям
01.01.2026 13:22:19 | Life.ru

Число погибших при ударе ВСУ в Херсонской области возросло
01.01.2026 13:22:17 | Lenta.ru

Лыжник Коростелев занял 12-е место в пасьюте на "Тур де Ски"
01.01.2026 13:22:04 | ТАСС

Пискарев: атаке ВСУ на Хорлы не может быть оправдания
01.01.2026 13:21:12 | ТАСС

Омбудсмен ДНР назвала киевский режим чудовищем
01.01.2026 13:19:33 | ТАСС

Поставки газа из РФ в Европу по "Турецкому потоку" в 2025 году стали рекордными
01.01.2026 13:19:00 | Российская Газета

Стало известно новое обстоятельство удара ВСУ по Херсонской области
01.01.2026 13:18:45 | Lenta.ru

Роспотребнадзор напомнил россиянам о правилах питания во время праздников
01.01.2026 13:18:37 | ТАСС

Число погибших при ударе ВСУ по Хорлам превысило 24
01.01.2026 13:17:19 | ТАСС

Сальдо показал фото с места удара БПЛА по гостинице в Хорлах
01.01.2026 13:16:47 | Коммерсантъ

ВКС РФ сбили украинский самолёт Су-27 и 250 беспилотников
01.01.2026 13:15:47 | Life.ru

В Херсонской области объявили дни траура из-за удара ВСУ по кафе в Хорлах
01.01.2026 13:14:14 | Lenta.ru

Лжесотрудники спецслужбы связали семью и обчистили дом
01.01.2026 13:11:48 | РЕН ТВ

Росатом сообщил о подключении нового блока Курской АЭС-2 к сети РФ
01.01.2026 13:10:32 | Life.ru

Володин: на руках Зеленского кровь погибших при атаке ВСУ на Херсонскую область
01.01.2026 13:09:47 | ТАСС

Володин: кровь погибших при атаке на Херсонскую область на руках Зеленского
01.01.2026 13:09:47 | ТАСС

Россияне встретили Новый год в темноте и без еды из-за застрявшего в снегопаде поезда
01.01.2026 13:09:43 | Lenta.ru

Десятки погибших, не менее 100 раненых. Взрыв на горнолыжном курорте в Швейцарии
01.01.2026 13:09:34 | ТАСС

2 и 3 января в Херсонской области объявлены днями траура
01.01.2026 13:09:32 | РЕН ТВ

Россияне встретили Новый год в темноте и без еды из-за застрявшего в снегу поезда
01.01.2026 13:09:00 | Lenta.ru

Бывший футболист «Спартака» заявил о неготовности покупать дешевый хлеб
01.01.2026 13:08:21 | Lenta.ru

Мирошник: ВСУ ударили по Хорлам во время разглагольствований Зеленского о "мире"
01.01.2026 13:07:32 | ТАСС

Мирошник: ВСУ ударили по Хорлам во время речей Зеленского о "мире"
01.01.2026 13:07:32 | ТАСС

В Забайкалье завели дело из-за аварий с отоплением в Атамановке
01.01.2026 13:06:28 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro