Các chuyên gia bảo mật đang chuẩn bị ứng phó với lỗ hổng bảo mật nghiêm trọng được phát hiện hôm thứ Tư trong React Server, một gói phần mềm mã nguồn mở được sử dụng rộng rãi bởi các trang web và trong môi trường điện toán đám mây.
Lỗ hổng này dễ bị khai thác và cho phép tin tặc thực thi mã độc trên các máy chủ chạy nó. Mã khai thác hiện đã được công khai .
React được tích hợp vào các ứng dụng web chạy trên máy chủ để các thiết bị từ xa hiển thị JavaScript và nội dung nhanh hơn và với ít tài nguyên hơn. Ước tính React được sử dụng bởi khoảng 6% tổng số trang web và 39% môi trường điện toán đám mây. Khi người dùng cuối tải lại trang, React cho phép máy chủ chỉ hiển thị lại những phần đã thay đổi, một tính năng giúp tăng tốc hiệu suất đáng kể và giảm tài nguyên tính toán mà máy chủ cần.
Điểm 10 hoàn hảo
Công ty bảo mật Wiz cho biết việc khai thác chỉ cần một yêu cầu HTTP duy nhất và có độ tin cậy "gần 100%" trong quá trình thử nghiệm của họ. Nhiều framework và thư viện phần mềm nhúng các triển khai React theo mặc định. Do đó, ngay cả khi các ứng dụng không sử dụng chức năng React một cách rõ ràng, chúng vẫn có thể dễ bị tổn thương, vì chính lớp tích hợp sẽ gọi mã lỗi.
Sự kết hợp giữa việc sử dụng rộng rãi React—đặc biệt là trong môi trường điện toán đám mây—khả năng dễ bị khai thác và khả năng thực thi mã cho phép kẻ tấn công kiểm soát máy chủ đã khiến lỗ hổng này được xếp hạng mức độ nghiêm trọng là 10, mức cao nhất có thể. Trên mạng xã hội, các chuyên gia bảo mật và kỹ sư phần mềm đã kêu gọi bất kỳ ai chịu trách nhiệm về các ứng dụng liên quan đến React hãy cài đặt ngay bản cập nhật được phát hành vào thứ Tư.
