Những người bảo vệ an ninh đang thắt lưng buộc bụng để đáp lại việc tiết lộ lỗ hổng có mức độ nghiêm trọng tối đa được tiết lộ hôm thứ Tư trong React Server, một gói nguồn mở được các trang web và môi trường đám mây sử dụng rộng rãi.
Lỗ hổng này rất dễ khai thác và cho phép tin tặc thực thi mã độc trên các máy chủ chạy nó. Khai thác code bây gi công khai.
React được nhúng vào các ứng dụng web chạy trên máy chủ để các thiết bị từ xa hiển thị JavaScript và nội dung nhanh hơn và cần ít tài nguyên hơn. React được sử dụng bởi một ước tính 6 phần trăm trong số tất cả các trang web và 39 phần trăm môi trường đám mây. Khi người dùng cuối tải lại một trang, React cho phép máy chủ chỉ hiển thị lại những phần đã thay đổi, một tính năng giúp tăng tốc đáng kể hiệu suất và giảm tài nguyên máy tính mà máy chủ yêu cầu.
Điểm 10 Hoàn Hảo
Hãng bảo mật Wiz nói rằng việc khai thác chỉ yêu cầu một yêu cầu HTTP duy nhất và có độ tin cậy “gần 100% trong thử nghiệm của nó. Nhiều khung phần mềm và thư viện nhúng triển khai React theo mặc định. Kết quả là, ngay cả khi các ứng dụng không sử dụng chức năng React một cách rõ ràng, chúng vẫn có thể dễ bị tấn công, vì chính lớp tích hợp sẽ gọi mã lỗi.
Sự kết hợp giữa việc sử dụng rộng rãi React—, đặc biệt là trong môi trường đám mây, tính dễ khai thác và khả năng thực thi mã giúp kẻ tấn công kiểm soát máy chủ đã khiến lỗ hổng này được xếp hạng mức độ nghiêm trọng là 10, điểm cao nhất có thể. Trên mạng xã hội, những người bảo vệ an ninh và kỹ sư phần mềm kêu gọi bất kỳ ai chịu trách nhiệm về các ứng dụng liên quan đến React hãy cài đặt ngay một cập nhật phát hành thứ tư.
