"Мы тестируем нашу систему поиска уязвимостей, мне в личку накидали много сайтов (добровольцы на тест) и вот теперь такие отчеты шлю владельцам. Нашли уязвимость и сразу дали рекомендацию как исправить: __На сайте ** обнаружена ~критическая~ с высоким уровнем проблема: CVE-2025-55184 В версиях React Server Components 19.0.0–19.2.1 (включая пакеты react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) есть уязвимость небезопасной десериализации. Проще говоря: сервер без должной проверки принимает данные от клиента и пытается их ""распаковать"" для выполнения серверных функций. Злоумышленник может отправить специально сформированный вредоносный пакет, который заставит серверный процесс бесконечно зависнуть. ⚠️ Последствия DoS (отказ в обслуживании): Сервер перестаёт отвечать на легитимные запросы. Не требует авторизации: Атаковать может любой, кто знает адрес API/эндпоинта. Серьёзность: Высокая (High). 🛠 Как исправить Обновите зависимости до версии выше 19.2.1. В новых версиях проблема закрыта. # Пример для npm/yarn/pnpm npm update react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack** # или явно указать новую версию в package.json Пересоберите и перезапустите приложение/сервер. (Опционально, если обновление временно невозможно): Добавьте валидацию/фильтрацию входящих payload на уровне прокси или middleware, хотя надёжным решением является только обновление библиотеки. 💡 Рекомендация: Обновите зависимости как можно скорее, особенно если серверные функции доступны из интернета или из недоверенных сетей.__ Я не скажу, что мы сделали что-то фантастическое, но даже будучи много лет в ИТ оказывается, что и на наших сайтах есть проблемы (не критичные), да и у других их хватает. Если хотите проверить свой сайт (вы владелец), пишите - поставим на обход, хотя процедура очень медленная, мы проверяем по базе около 6к известных уязвимостей. Сделать еще надо много, но система уже как-то работает. p.s. очевидно, что я не публикую домен, где нашли уязвимость, т.к. это не этично, но пишу владельцу в личку. tg / max"