React.js-də kritik 'React2Shell' boşluğu: Təhlükəsizlik üçün nə etməli? - Tech Xəbər
Ads

Texnoloji İnkişaf

React.js-də kritik 'React2Shell' boşluğu: Təhlükəsizlik üçün nə etməli?

3
Link kopyalandı

24

Bu gün, 00:31

Süni intellekt

Oxumaq vaxt alır?

Məqalələri dinləyə bilərsiz

React.js-də kritik boşluq aşkarlandı

React.js-də aşkar edilmiş React2Shell adlı boşluq, serverlərin təhlükəsizliyinə ciddi təhdid yaradır. Boşluq, 29 noyabr 2025-ci ildə təhlükəsizlik tədqiqatçısı Laçlan Davidson tərəfindən Meta komandası ilə paylaşılmışdır və rəsmi olaraq CVE-2025-55182 kimi qeydiyyata alınmışdır. Bu boşluq, əvvəlki Log4Shell boşluğuna bənzər şəkildə maksimum təhlükəsizlik dərəcəsi (CVSS) 10.0 ilə qiymətləndirilmişdir.

Boşluğun təsiri

React2Shell boşluğu server tərəfində React.js-dən istifadə edən tətbiqləri hədəf alır. Uğurlu istismar hücumları, hücumçulara server üzərində tam nəzarət imkanı verir və həssas məlumatların geniş miqyasda sızmasına səbəb ola bilər. Tenable şirkətinin bulud təhlükəsizliyi araşdırma direktoru Ari Eitan bildirib ki, "Bu boşluqların geniş yayılması və istismarının sadəliyi onları xüsusilə təhlükəli edir. İstismar üçün autentifikasiya tələb olunmur və bircə zərərli HTTP sorğusu server tərəfində kodun icrasına səbəb ola bilər."

Təhlükənin yayılması

Boşluğun istismarı çox sadədir və adətən React Server Function endpoint-lərindən istifadə edən serverlərdə uğurlu olur. JFrog şirkətinin tədqiqatçıları bildiriblər ki, standart konfiqurasiyalarda istismar uğur dərəcəsi demək olar ki, 100%-dir. Bundan əlavə, Next.js tətbiqləri də standart konfiqurasiyalarda bu boşluğa qarşı həssasdır.

İstismar halları artıq müşahidə olunur

5 dekabr 2025-ci il tarixində OX Security şirkəti LinkedIn vasitəsilə bildirib ki, boşluq artıq aktiv şəkildə istismar olunur. Şirkət qeyd edib ki, haker maple3142 işlək Proof-of-Concept (PoC) yayımlayıb və bu PoC uğurla test edilib. Bundan əlavə, JFrog şirkəti GitHub-da saxta PoC-lərin yayımlandığını və bu layihələrin zərərli kod ehtiva etdiyini qeyd edib. Təhlükəsizlik komandalarına test etmədən əvvəl mənbələri diqqətlə yoxlamaq tövsiyə olunur.

Təhlükəsizlik tövsiyələri

CVE-2025-55182 və CVE-2025-66478 boşluqlarını aradan qaldırmaq üçün təhlükəsizlik komandalarına zərərli paketləri dərhal yenilənmiş versiyalarla əvəz etmək tövsiyə olunur. React komandası versiyaları 19.0.1, 19.1.2 və 19.2.1-də düzəlişlər təqdim edib. Next.js tətbiqləri üçün App Router funksiyasından istifadə edilmədiyi hallarda Pages Router-ə keçid tövsiyə olunur.

Boşluğun geniş yayılması və istismarının sadəliyi, təhlükəsizlik komandalarını daha aktiv addımlar atmağa vadar edir. Təcili yeniləmələr və təhlükəsizlik tədbirləri bu ciddi təhlükəni aradan qaldırmaq üçün vacibdir.

3
Link kopyalandı

Bir istifadəçi, ChatGPT-ni kalkulyatorda işə salmağı bacarıb! (VİDEO)