🔐 Главный инцидент начала декабря: React2Shell

В начале месяца индустрия столкнулась с одной из самых серьёзных уязвимостей года — React2Shell. Ошибка в серверных компонентах React (RSC) открывала возможность удалённого выполнения кода без аутентификации — фактически полный контроль над сервером приложения.

➕ Что затронуто:

Фреймворки и инструменты, использующие RSC:
• Next.js
• React Router
• Waku
• Vite RSC
• Parcel RSC
• кастомные RSC-решения

Уязвимые версии React: 19.0.0–19.2.0.
Степень угрозы: CVSS 10.0.

➕ Как реагировало сообщество:

— разработчики массово обновляли зависимости
— компании запускали сканирование продакшена
— вендоры публиковали технические рекомендации и патчи
— уязвимость включили в списки критических угроз, требующих немедленных мер

‼️ React2Shell стала ключевой темой безопасности, резко повлияв на процессы разработки и эксплуатацию современных фронтенд-фреймворков.

Почитать 🔜

🔗 Блог BI.ZONE
🔗 Блог React.dev

🐸 Библиотека хакера

#cve_bulletin