安全專家在週三披露 React Server 的一個嚴重漏洞後處於高度警戒狀態。React Server 是廣泛用於網站和雲環境的開源套件。
這個漏洞很容易被利用,允許在使用該套件的服務器上執行惡意代碼。令人擔憂的是,利用代碼已公開可用。
React 被集成到服務器上的網頁應用中,以提升遠程設備對 JavaScript 和內容的渲染效率,需較少的資源。據估計,大約 6% 的所有網站和 39% 的雲環境使用該框架。該框架通過僅重新渲染在重新加載期間改變的頁面部分來優化性能,顯著減少了服務器所需的計算資源。
滿分 10 分
安全公司 Wiz 報告說,該漏洞可以通過單一的 HTTP 請求進行利用,並在其測試過程中具有“幾乎 100% 的可靠性”。許多軟件框架和庫默認使用 React 實現,這意味著即使應用程序沒有公開使用 React 函數,它們也可能因為集成層本身調用的漏洞代碼而易受攻擊。
由於 React 的廣泛使用,特別是在雲環境中,再加上利用的簡單性和攻擊者控制服務器的潛在性,該漏洞被賦予了 10 分的嚴重性等級,這是可能的最高分。在社交媒體平台上,安全防禦者和軟件工程師強烈敦促任何負責 React 相關應用程序的人立即應用於週三發布的更新。