Команда JavaScript-библиотеки для создания интерфейсов нашла уязвимость

МОСКВА, 4 декабря. /ТАСС/. Команда JavaScript-библиотеки для создания пользовательских интерфейсов React сообщила о выявлении уязвимости в одном из типов своих компонентов, которой присвоили максимальную опасность - 10 из 10. Эксперты сообщили ТАСС, что под ударом находятся до 25 тыс. российских сайтов.

На React можно писать и собирать сложные интерфейсы, состоящие из отдельных кусков кода, или "компонентов". К примеру, можно создавать приложения или игры с разными внедренными в них опциями, которые становятся взаимосвязанными, и поддерживать их.

Уязвимость была найдена в React Server Components - типе компонентов, представленных в 2020 году, которые для ускорения процесса исполняются на сервере, в отличие от клиентских компонентов (исполняются в браузере). Брешь получила оценку в максимальные 10 из 10 баллов по шкале их оценки, позволяя хакеру без аутентификации выполнить произвольный код на уязвимом сервере.

Глава отдела экспертизы MaxPatrol VM в компании Positive Technologies Егор Подмоков добавил в комментарии для ТАСС, что для этого хакеру нужно было бы лишь составить HTTP-запрос и иметь приложение с функциями для исполнения кода, что также "делает уязвимыми вообще все фреймворки, основанные на React". Уязвимость фактически "дает полный контроль над сервером злоумышленнику", предупредил он.

"По нашим оценкам, новая критическая уязвимость ставит под удар от 10 тыс. до 25 тыс. российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее", - заявил ТАСС руководитель решений анализа защищенности в компании Bi.Zone Павел Загуменнов.