Los expertos en seguridad están en máxima alerta tras la divulgación el miércoles de una vulnerabilidad crítica en React Server, un paquete de código abierto ampliamente utilizado por sitios web y en entornos en la nube.
Esta vulnerabilidad puede ser explotada fácilmente, permitiendo la ejecución de código malicioso en servidores que utilizan el paquete. Alarmantemente, el código de explotación se ha hecho público.
React está integrado en aplicaciones web en servidores para mejorar la eficiencia del renderizado de JavaScript y contenido por dispositivos remotos, requiriendo menos recursos. Se estima que es utilizado por aproximadamente el 6 por ciento de todos los sitios web y el 39 por ciento de los entornos en la nube. El marco optimiza el rendimiento al volver a renderizar solo las partes de una página que han cambiado durante una recarga, reduciendo significativamente los recursos informáticos necesarios para el servidor.
Un Perfecto 10
La firma de seguridad Wiz informa que la vulnerabilidad puede ser explotada con una sola solicitud HTTP y cuenta con una fiabilidad cercana al 100% en sus procesos de prueba. Numerosos marcos de software y bibliotecas utilizan implementaciones de React por defecto, lo que significa que incluso si las aplicaciones no emplean abiertamente funciones de React, aún pueden ser susceptibles debido al código defectuoso invocado por la propia capa de integración.
Debido al uso expansivo de React, particularmente dentro de entornos en la nube, combinado con la simplicidad de la explotación y el potencial resultante para que los atacantes asuman el control del servidor, se ha asignado a la vulnerabilidad una calificación de gravedad de 10, la máxima puntuación posible. En plataformas de redes sociales, los defensores de seguridad e ingenieros de software están instando con vehemencia a cualquier persona a cargo de aplicaciones relacionadas con React a aplicar la actualización lanzada el miércoles sin demora.