Lawaziyek (CVE-2025-55182) di pêkhateyên serverê yên çarçoveya webê ya React (RSC) de hate rastkirin ku dikare bi şandina daxwazek ji destgirekî serverê re rê bide pêkanîna koda keyfî li ser serverê. Lawazî wekî krîtîk hatiye nirxandin (10 ji 10). Lawazî bandorê li pêkhateyên ceribandinî react-server-dom-webpack, react-server-dom-parcel, û react-server-dom-turbopack dike, ku ji bo pêkanîna fonksiyonan û çêkirina hêmanên navrûyê li ser serverê, ne li ser xerîdar, têne bikar anîn.
Ev pirsgirêk ji ber bêserûberkirina ne ewle ya daneyên ku di daxwazên HTTP-ê de ji bo destkarên serverê têne wergirtin çêdibe. Destkarên "vm#runInThisContext," "vm#runInNewContext," "child_process#execFileSync," û "child_process#execSync" dikarin ji bo xebitandina fermanên pergalê an jî bicîhanîna koda JavaScript-ê di çarçoveya pêvajoya heyî de werin bikar anîn (bi derbaskirina tecrîda sandbox). Her weha mimkun e ku destkarên "fs#readFileSync" û "fs#writeFileSync" werin bikar anîn da ku pelên keyfî li ser bixwînin û binivîsin. server, heta ku mafên gihîştina heyî destûrê didin. Êrîş hewceyî pejirandinê nake. Prototîpek îstîsmarê heye. # Fermana whoami bimeşîne curl -X POST http://localhost:3002/formaction \ -F '$ACTION_REF_0=' \ -F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}' # Koda JavaScriptê 1+1 bimeşîne curl -X POST http://localhost:3002/formaction \ -F '$ACTION_REF_0=' \ -F '$ACTION_0:0={"id":"vm#runInThisContext","bound":["1+1"]}' # Pelê /etc/passwd bixwîne curl -X POST http://localhost:3002/formaction \ -F '$ACTION_REF_0=' \ -F '$ACTION_0:0={"id":"fs#readFileSync","bound":["/etc/passwd","utf8"]}'
Lawaziya sîstemê bi karanîna pêkhateyên serverê yên lawaz react-server-dom-webpack, react-server-dom-parcel, û react-server-dom-turbopack ve girêdayî ye. Serlêdanên ku react-server bikar naynin bandor nabin. Asta ku lawazî bandorê li sîstemên hilberînê yên ku React bikar tînin ne diyar e. React yek ji çarçoveyên webê yên herî populer e (ji hêla nêzîkî 6% malperan ve tê bikar anîn), û pêkhateyên lawaz di depoya sereke de têne parastin û di berdanan de têne bicîh kirin. Pêkhateyên lawaz di çarçoveyên React-ê yên wekî Next.js û react-router de jî têne piştgirî kirin. Li gorî Wiz Research, mînakên lawaz di 39% jîngehên ewr ên analîzkirî de hatine destnîşankirin.
Ji aliyekî din ve, çêkirina naverokê li ser server bi rêya React Server Pêkhate ne taybetmendiyek e ku pir caran tê bikar anîn (piraniya malperên React UI tenê li aliyê xerîdar nîşan didin), û pêkhateyên xeternak wekî ceribandinî têne nîşankirin û ne garantî ye ku bi rêkûpêk bixebitin. Van pêkhateyan hejmareke nisbeten hindik a dakêşanên rasterast ji depoya NPM hene: react-server-dom-webpack - 670 her hefte, react-server-dom-parcel - 7, û react-server-dom-turbopack - 32. Bi berawirdkirinê, pakêta React NPM her hefte 45 mîlyon dakêşan heye.
Ev lawazî di guhertoyên React 9.0.0, 19.1.0, 19.1.1, û 19.2.0 de heye, û di React 19.0.1, 19.1.2, û 19.2.1 de hatiye rastkirin. Pêkhateyên lawaz di pakêtên Next.js (16 milyon dakêşan di hefteyê de), react-router (20 milyon dakêşan di hefteyê de), waku, @parcel/rsc, @vitejs/plugin-rsc, û rwsdk de jî têne bikar anîn.
Qelsiyek (CVE-2025-66478) di çarçoveya Next.js de bandorê li ser sepanên ku App Router û Next.js 15.x û 16.x bikar tînin dike. Tê gotin ku ev qelsî bandorê li ser mîhengkirina xwerû ya Next.js dike (sepana xwerû ya ku ji hêla amûra create-next-app ve hatî afirandin qels e). Ji bikarhêneran re tê şîret kirin ku nûvekirina Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, an 16.0.7 di zûtirîn dem de saz bikin.
Source: opennet.ru
