Popularne tematy
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
naprawić
4 gru, 00:13
🚨 KRYTYCZNY ALARM RCE: Luka w React i Next.js ↓
Opublikowano krytyczne luki w zdalnym wykonywaniu kodu (RCE), które wpływają na ekosystem React 19 oraz Next.js.
Te luki (CVE-2025-55182 i CVE-2025-66478) znajdują się w protokole "Flight" komponentów serwerowych React (RSC). Pozwalają one nieautoryzowanym atakującym na wykonywanie dowolnego kodu na serwerze poprzez wysłanie specjalnie przygotowanego żądania HTTP POST.
→ Waga: Krytyczna.
→ Wektor: Zdalny, Nieautoryzowany.
→ Wskaźnik sukcesu: Blisko 100% w domyślnych konfiguracjach.
→ Dotyczy: Standardowe wdrożenia Next.js (App Router) i React 19.
🟢 Wymagana natychmiastowa akcja: Łatka. Nie ma innych obejść poza łataniem. Zespoły bezpieczeństwa muszą priorytetowo traktować aktualizację zależności do wzmocnionych wersji natychmiast.
—
Przeczytaj naszą pełną analizę techniczną i przewodnik po usuwaniu usterek tutaj:
W ciągu ostatnich dwóch dni różne metody omijania i skanowania całej sieci, zweryfikowaliśmy również kilka udanych przypadków wykorzystania. Jeśli nagle zdasz sobie sprawę, że twoja usługa jest w zasięgu wpływu, możesz przeprowadzić następujące kroki, aby sprawdzić, czy została naruszona:
- Audyt logów: grep -E "(__proto__|child_process|execSync|process.mainModule)" /var/log/nginx/access.log. Jeśli znajdziesz słowa kluczowe i kod stanu 200, to może oznaczać, że została wykorzystana.
- Audyt procesów: ps auxf | grep node. Jeśli proces node ma powiązane nietypowe procesy, to może oznaczać, że została wykorzystana.
23,49K
Najlepsze
Ranking
Ulubione