Добавить в корзинуПозвонить
Найти в Дзене
Максим Кульгин

Мы тестируем нашу систему поиска уязвимостей, мне в личку накидали много сайтов (добровольцы на тест) и вот теперь такие отчеты шлю

владельцам. Нашли уязвимость и сразу дали рекомендацию как исправить: На сайте **** обнаружена ~критическая~ с высоким уровнем проблема: CVE-2025-55184 В версиях React Server Components 19.0.0–19.2.1 (включая пакеты react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) есть уязвимость небезопасной десериализации. Проще говоря: сервер без должной проверки принимает данные от клиента и пытается их "распаковать" для выполнения серверных функций. Злоумышленник может отправить специально сформированный вредоносный пакет, который заставит серверный процесс бесконечно зависнуть. ⚠️ Последствия DoS (отказ в обслуживании): Сервер перестаёт отвечать на легитимные запросы. Не требует авторизации: Атаковать может любой, кто знает адрес API/эндпоинта. Серьёзность: Высокая (High). 🛠 Как исправить Обновите зависимости до версии выше 19.2.1. В новых версиях проблема закрыта. # Пример для npm/yarn/pnpm npm update react-server-dom-webpack react-server-dom-parcel rea

Мы тестируем нашу систему поиска уязвимостей, мне в личку накидали много сайтов (добровольцы на тест) и вот теперь такие отчеты шлю владельцам.

Нашли уязвимость и сразу дали рекомендацию как исправить:

На сайте **** обнаружена ~критическая~ с высоким уровнем проблема:

CVE-2025-55184

В версиях React Server Components 19.0.0–19.2.1 (включая пакеты react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) есть уязвимость небезопасной десериализации.

Проще говоря: сервер без должной проверки принимает данные от клиента и пытается их "распаковать" для выполнения серверных функций. Злоумышленник может отправить специально сформированный вредоносный пакет, который заставит серверный процесс бесконечно зависнуть.

⚠️ Последствия

DoS (отказ в обслуживании): Сервер перестаёт отвечать на легитимные запросы. Не требует авторизации: Атаковать может любой, кто знает адрес API/эндпоинта.

Серьёзность: Высокая (High).

🛠 Как исправить

Обновите зависимости до версии выше 19.2.1. В новых версиях проблема закрыта.

# Пример для npm/yarn/pnpm

npm update react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack

# или явно указать новую версию в package.json

Пересоберите и перезапустите приложение/сервер.

(Опционально, если обновление временно невозможно): Добавьте валидацию/фильтрацию входящих payload на уровне прокси или middleware, хотя надёжным решением является только обновление библиотеки.

💡 Рекомендация: Обновите зависимости как можно скорее, особенно если серверные функции доступны из интернета или из недоверенных сетей.

Я не скажу, что мы сделали что-то фантастическое, но даже будучи много лет в ИТ оказывается, что и на наших сайтах есть проблемы (не критичные), да и у других их хватает.

Если хотите проверить свой сайт (вы владелец), пишите - поставим на обход, хотя процедура очень медленная, мы проверяем по базе около 6к известных уязвимостей. Сделать еще надо много, но система уже как-то работает.

p.s. очевидно, что я не публикую домен, где нашли уязвимость, т.к. это не этично, но пишу владельцу в личку.

tg / max