Souhrn
Nově objevená zranitelnost v Reactu a Next.js, nazvaná React2Shell, umožňuje útočníkům dosáhnout vzdáleného provozu kódu (RCE) bez autentizace na zranitelných serverech. Chyba je katalogizována jako CVE-2025-55182 pro React a CVE-2025-66478 pro Next.js, obě s maximální závažností CVSS 10.0. Firma Wiz, specializující se na bezpečnost cloudových prostředí, varuje před vysokým rizikem pro miliony webových aplikací.
Klíčové body
- Zranitelnost postihuje React Server Components (RSC), funkci pro serverové vykreslování uživatelských rozhraní, která zlepšuje výkon aplikací tím, že přenáší data mezi prohlížečem a serverem.
- Exploit vyžaduje pouze jednu speciálně upravenou HTTP požadavek, funguje na dálku přes internet bez potřeby přihlášení nebo interakce oběti.
- Podle testů Wiz dosahuje úspěšnost útoku téměř 100 procent.
- Statistiky: 6 procent všech webových stránek používá React, 39 procent cloudových prostředí obsahuje zranitelné instalace Reactu nebo Next.js a 44 procent cloudových prostředí má veřejně vystavené instance Next.js.
Podrobnosti
React je JavaScriptová knihovna vyvinutá společností Meta pro tvorbu uživatelských rozhraní webových aplikací. Umožňuje vývojářům budovat interaktivní prvky efektivně, což ji činí jednou z nejpoužívanějších technologií na webu. Next.js je na ní postavený framework pro serverové vykreslování, který zrychluje načítání stránek a optimalizuje SEO. Zranitelnost se nachází v protokolu RSC Flight, který řídí přenos dat mezi klientem a serverem během serverového vykreslování komponent. Tento protokol serializuje a deserializuje data, což útočníci zneužívají k injekci a spuštění vlastního kódu na serveru.
Podle výzkumníků z Wiz stačí odeslat jednu HTTP požadavek s upravenými daty do endpointu RSC, aby došlo k RCE. Tento útok nevyžaduje žádné předchozí přístupové právo ani sociální inženýrství, což ho činí extrémně nebezpečným pro veřejně dostupné servery. Next.js instance jsou často vystaveny na internetu, což zvyšuje povrch útoku. React Server Components byly zavedeny pro snížení zátěže na klientovi tím, že vykreslují složité části na serveru, ale tato funkce nyní představuje slabé místo. Výzkumníci doporučují okamžité aktualizace na patchované verze a dočasné omezení přístupu k RSC endpointům. Wiz provedla interní testy, které potvrdily vysokou spolehlivost exploitu na různých konfiguracích, včetně cloudových platforem jako AWS nebo Azure.
Proč je to důležité
Tato zranitelnost ohrožuje širokou škálu webových aplikací a cloudových úloh, protože React pohání procenta moderních webů a Next.js je běžný v serverless architekturách. Potenciální útoky mohou vést k úplné kompromitaci serverů, úniku dat nebo nasazení malware. V kontextu rostoucího počtu veřejně vystavených endpointů v cloudu (44 procent) to zvyšuje riziko masivních incidentů. Pro vývojáře znamená nutnost revize konfigurací RSC a rychlého patchování, zatímco firmy by měly provést audity expozice. Jako zero-day exploit s maximálním skóre CVSS připomíná předchozí krize jako Log4Shell, kde selhání v aktualizacích vedlo k globálním útokům.
Zdroj: 📰 Techworm
