"Мы тестируем нашу систему поиска уязвимостей, мне в личку накидали много сайтов (добровольцы на тест) и вот теперь такие отчеты шлю владельцам. Нашли уязвимость и сразу дали рекомендацию как исправить: __На сайте ** обнаружена ~критическая~ с высоким уровнем проблема: CVE-2025-55184 В версиях React Server Components 19.0.0–19.2.1 (включая пакеты react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) есть уязвимость небезопасной десериализации. Проще говоря: сервер без должной проверки принимает данные от клиента и пытается их ""распаковать"" для выполнения серверных функций. Злоумышленник может отправить специально сформированный вредоносный пакет, который заставит серверный процесс бесконечно зависнуть. ⚠️ Последствия DoS (отказ в обслуживании): Сервер перестаёт отвечать на легитимные запросы. Не требует авторизации: Атаковать может любой, кто знает адрес API/эндпоинта. Серьёзность: Высокая (High). 🛠 Как исправить Обновите зависимости до версии выше 19.2.1. В новых версиях проблема закрыта. # Пример для npm/yarn/pnpm npm update react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack** # или явно указать новую версию в package.json Пересоберите и перезапустите приложение/сервер. (Опционально, если обновление временно невозможно): Добавьте валидацию/фильтрацию входящих payload на уровне прокси или middleware, хотя надёжным решением является только обновление библиотеки. 💡 Рекомендация: Обновите зависимости как можно скорее, особенно если серверные функции доступны из интернета или из недоверенных сетей.__ Я не скажу, что мы сделали что-то фантастическое, но даже будучи много лет в ИТ оказывается, что и на наших сайтах есть проблемы (не критичные), да и у других их хватает. Если хотите проверить свой сайт (вы владелец), пишите - поставим на обход, хотя процедура очень медленная, мы проверяем по базе около 6к известных уязвимостей. Сделать еще надо много, но система уже как-то работает. p.s. очевидно, что я не публикую домен, где нашли уязвимость, т.к. это не этично, но пишу владельцу в личку. tg / max"
"Мы тестируем нашу систему поиска уязвимостей, мне в личку накидали много…
Из этого канала
- #17447Все так и есть, правда жизни. Вывод? Развивайте социальные связи :) tg / max
Все так и есть, правда жизни. Вывод? Развивайте социальные связи :) tg / max
- #17448Всем привет! DemGen Lab - лаборатория генерации спроса в B2B. Мы работаем с…
Всем привет! DemGen Lab - лаборатория генерации спроса в B2B. Мы работаем с компаниями в России, Центральной Азии и других странах СНГ.
- #17449С 1 сентября 2026 года в России появится возможность легально покупать крипту…
С 1 сентября 2026 года в России появится возможность легально покупать крипту через официальных посредников.
- #17445NotebookLM получил функцию Short Video Overviews, которая превращает сложные…
NotebookLM получил функцию Short Video Overviews, которая превращает сложные источники в 60‑секундные вертикальные видео с разбором ключевых идей.
- #17444Максим, привет! Пару лет назад написал проект:…
Максим, привет! Пару лет назад написал проект: https://github.com/emilycodestar/cmd-chat В чем суть: эта штука создаёт полностью анонимный чат, данные которого…