Безпека веб-додатків під загрозою: нещодавно виявлено критичну вразливість у React Server, популярному відкритому пакеті, який використовується на багатьох веб-сайтах і в хмарних середовищах. Цю уразливість, що має рейтинг 10 за шкалою CVSS, можна легко експлуатувати, дозволяючи зловмисникам виконувати шкідливий код на серверах, що використовують React.
Вразливість була оголошена у середу, і код для її експлуатації вже доступний публічно. React, що складає приблизно 6% усіх веб-сайтів і 39% хмарних середовищ, активно використовується для швидшого рендерингу JavaScript та контенту на віддалених пристроях. Під час перезавантаження сторінки React дозволяє серверам повторно рендерити лише змінені частини, що значно підвищує продуктивність.
Фірма Wiz повідомила, що для експлуатації вразливості достатньо лише одного HTTP-запиту, що забезпечує практично 100% надійність. Багато програмних фреймворків за замовчуванням вбудовують реалізації React, що робить навіть ті програми, які не використовують функціонал React, вразливими.
У зв’язку з цим фахівці з безпеки закликають усіх відповідальних за React-додатки терміново встановити оновлення, яке було випущене в середу.