Голландский Rust-ист
Відкрити в Telegram
Тяжела и неказиста жизнь Южно-Голландского Rust-иста. Авторский канал @ovrweb про жизнь в Нидерландах, системную/веб разработку, Rust и всеми любимый JavaScript
Показати більшеКраїна не вказанаКатегорія не вказана
207
Підписники
Немає даних24 години
-27 днів
-130 день
Архів дописів
+1
Со вчерашнего дня в мире фронтенда жарко. Опубликовано CVE-2025-55182 с оценкой 10.0 и типом RCE (remote code execution) в react-server-*. Как любят говорить: React это всего лишь библиотека, но вот проекты на Next.js это реальность и уязвимость достается им в награду.
Воспроизводится легко, достаточно послать специально собранный HTTP запрос с JS кодом внутри, и он выполнится на сервере.
Ребята из Vercel уже подготовили патчи для 15/16 релизов:
15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7.
Проблема в том, что нужно обновить крайне много веб приложений, что нереально сделать в короткие сроки. А эксплуатировать уязвимость крайне легко (см. скриншот).
Из хорошего, подключились облачные провайдеры и начали защищать на уровне файрволов через рулы WAF. Уже есть у Vercel, Google, Cloudflare, Fastly и других.
Согласно анализу Wiz, уязвимые версии фреймворков React Server Components, Next.js и других до сих пор остаются в ~39 % облачных сред.Если вы сидите на baremetal и не прикрыты файрволом, то бегом обновляться! Голландский Rust-ист - канал о веб разработке
Йоу! Это Дмитрий из UnderJS, давно не виделись. Наверное, вы уже заметили, что долгих 4 года у нас не было выпусков. А совсем недавно мне стукнуло 31, подумал и замотивировался снова заниматься выступлениями, подкастами и писать интересные мысли.
Я создал отдельный канал @zh_rust, где собираюсь писать про веб и системную разработку на Node/Rust. Подписывайся, чтобы не пропустить!
P. S. Уже 6 декабря иду записывать интересное интервью с классным гостем!
