Kritisk sårbarhet i React og Next.js
– Vi anbefaler å oppdatere umiddelbart, advarer React-utviklerne.
– Det finnes en uautorisert ekstern kjøring av kode-sårbarhet i React Server Components. Vi anbefaler å oppdatere umiddelbart.
Sånn starter et nytt blogginnlegg fra React-utviklerne på React.dev.
Og hvis det ble noe uklart på norsk: Det dreier seg altså om en "unauthenticated remote code execution vulnerability". Som rammer blant annet Next.js-brukere.
Sikkerhetshullet får nå stor oppmerksomhet, for dette kan potensielt få store følger, for veldig mange.
Kritisk sårbarhet
React-utviklerne forteller at Lachlan Davidson rapporterte sårbarheten 29. november. Fiksen ble publisert på NPM 3. desember.
- Hullet lar en angriper lage en ondsinnet HTTP-forespørsel til et Server Function-endepunkt, som lar angriperen kjøre sin egen kode på serveren.
- Dette er ganske krise, og sårbarheten har derfor fått en CVSS-rangering på 10,0 – det aller høyeste, altså en "kritisk" sårbarhet.
- React-utviklerne er forsiktige med å gå i detaljer rundt hvordan hullet kan utnyttes, men det finnes demonstrasjoner der ute, uten at kode24 kan gå god for kvaliteten.
Sårbarheten gjelder heller ikke bare de som bruker React Server Functions i applikasjonene sine, påpeker React-utviklerne.
– Appen din kan være sårbar hvis den støtter React Server Components, skriver de.
For alle detaljer bør du ta turen til innlegget hos React.dev.
Rammer Next.js
React-utviklerne anbefaler altså alle å oppdatere pakkene sine umiddelbart, for å motta fiksen de har laget.
Nærmere bestemt hvis du bruker versjon 19.0, 19.1.0, 19.1.1, eller 19.2.0 av noen av disse:
Eller om du bruker ett av disse rammeverkene eller bundlerne:
– Hvis din React-app ikke bruker en server, blir den ikke rammet av denne sårbarheten. Og hvis den ikke bruker et rammeverk, bundler eller bundler plugin som støtter React Server Components, blir den heller ikke rammet, skriver React.dev.
