Tìm kiếm

Lỗi RSC nghiêm trọng trong React và Next.js cho phép thực thi mã từ xa

Lỗi RSC nghiêm trọng trong React và Next.js cho phép thực thi mã từ xa

Tác giả T-X, T.M.Hai 05, 2025, 10:17:11 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.M.Hai 05, 2025, 10:17:11 SÁNG
Một lỗ hổng bảo mật có mức độ nghiêm trọng tối đa đã được phát hiện trong React Server Components (RSC), nếu khai thác thành công, có thể dẫn đến việc thực thi mã từ xa.

Lỗ hổng bảo mật được theo dõi là CVE-2025-55182 có điểm CVSS là 10,0.


Nhóm React cho biết trong cảnh báo đưa ra ngày hôm nay rằng nó cho phép "thực thi mã từ xa không xác thực bằng cách khai thác lỗ hổng trong cách React giải mã các dữ liệu được gửi đến các điểm cuối của React Server Function".

"Ngay cả khi ứng dụng của bạn không triển khai bất kỳ điểm cuối nào của React Server Function, ứng dụng vẫn có thể bị tấn công nếu hỗ trợ React Server Components."

Theo công ty bảo mật đám mây Wiz, vấn đề này là một trường hợp giải tuần tự hóa logic bắt nguồn từ việc xử lý các payload RSC một cách không an toàn. Kết quả là, kẻ tấn công chưa được xác thực có thể tạo một yêu cầu HTTP độc hại đến bất kỳ điểm cuối Server Function nào. Khi được giải tuần tự hóa bằng React, yêu cầu này sẽ thực thi mã JavaScript tùy ý trên máy chủ.

Lỗ hổng bảo mật này ảnh hưởng đến các phiên bản 19.0, 19.1.0, 19.1.1 và 19.2.0 của các gói npm sau:

    react-server-dom-webpack
    react-server-dom-parcel
    react-server-dom-turbopack

Lỗ hổng này đã được khắc phục trong các phiên bản 19.0.1, 19.1.2 và 19.2.1. Nhà nghiên cứu bảo mật Lachlan Davidson có trụ sở tại New Zealand được ghi nhận là người phát hiện và báo cáo lỗ hổng này vào ngày 29 tháng 11 năm 2025.

Cần lưu ý rằng lỗ hổng bảo mật này cũng ảnh hưởng đến Next.js khi sử dụng App Router. Sự cố được gán mã CVE là CVE-2025-66478 (điểm CVSS: 10.0). Nó ảnh hưởng đến các phiên bản >=14.3.0-canary.77, >=15 và >=16. Các phiên bản đã được vá là 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 và 15.0.5.

Tuy nhiên, bất kỳ thư viện nào đóng gói RSC đều có khả năng bị ảnh hưởng bởi lỗ hổng này. Điều này bao gồm, nhưng không giới hạn ở, plugin Vite RSC, plugin Parcel RSC, bản xem trước React Router RSC, RedwoodJS và Waku.

Wiz cho biết 39% môi trường đám mây có các phiên bản dễ bị tấn công bởi CVE-2025-55182 và/hoặc CVE-2025-66478. Do mức độ nghiêm trọng của lỗ hổng, người dùng được khuyến cáo nên áp dụng các bản sửa lỗi càng sớm càng tốt để bảo vệ tối ưu.
Tạo trang in
Lên đầu trang Trang1
User actions

Lỗi RSC nghiêm trọng trong React và Next.js cho phép thực thi mã từ xa