🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A equipe do React lançou correções para dois novos tipos de falhas nos componentes do React Server (RSC) que, se explorados com sucesso, podem resultar em negação de serviço (DoS) ou exposição do código-fonte.
A equipe disse que os problemas foram encontrados pela comunidade de segurança ao tentar explorar os patches lançados para CVE-2025-55182 (pontuação CVSS: 10,0), um bug crítico no RSC que desde então foi transformado em arma.
As três vulnerabilidades estão listadas abaixo -
CVE-2025-55184 (pontuação CVSS: 7,5) – Uma vulnerabilidade de negação de serviço de pré-autenticação decorrente da desserialização insegura de cargas úteis de solicitações HTTP para endpoints de função de servidor, acionando um loop infinito que interrompe o processo do servidor e pode impedir que futuras solicitações HTTP sejam atendidas
CVE-2025-67779 (pontuação CVSS: 7,5) – Uma correção incompleta para CVE-2025-55184 que tem o mesmo impacto
CVE-2025-55183 (pontuação CVSS: 5,3) – Uma vulnerabilidade de vazamento de informações que pode fazer com que uma solicitação HTTP especificamente criada seja enviada a uma função de servidor vulnerável para retornar o código-fonte de qualquer função de servidor
No entanto, a exploração bem-sucedida do CVE-2025-55183 requer a existência de uma função de servidor que exponha explícita ou implicitamente um argumento que foi convertido em um formato de string.
As falhas que afetam as seguintes versões de react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack -
CVE-2025-55184 e CVE-2025-55183 - 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 e 19.2.1
CVE-2025-67779 - 19.0.2, 19.1.3 e 19.2.2
Os pesquisadores de segurança RyotaK e Shinsaku Nomura foram creditados por relatar os dois bugs DoS ao programa Meta Bug Bounty, enquanto Andrew MacPherson foi reconhecido por relatar a falha de vazamento de informações.
Os usuários são aconselhados a atualizar para as versões 19.0.3, 19.1.4 e 19.2.3 o mais rápido possível, especialmente à luz da exploração ativa do CVE-2025-55182.
“Quando uma vulnerabilidade crítica é divulgada, os pesquisadores examinam caminhos de código adjacentes em busca de técnicas de exploração variantes para testar se a mitigação inicial pode ser contornada”, disse a equipe do React. “Esse padrão aparece em toda a indústria, não apenas em JavaScript. Divulgações adicionais podem ser frustrantes, mas geralmente são um sinal de um ciclo de resposta saudável”.
A equipe disse que os problemas foram encontrados pela comunidade de segurança ao tentar explorar os patches lançados para CVE-2025-55182 (pontuação CVSS: 10,0), um bug crítico no RSC que desde então foi transformado em arma.
As três vulnerabilidades estão listadas abaixo -
CVE-2025-55184 (pontuação CVSS: 7,5) – Uma vulnerabilidade de negação de serviço de pré-autenticação decorrente da desserialização insegura de cargas úteis de solicitações HTTP para endpoints de função de servidor, acionando um loop infinito que interrompe o processo do servidor e pode impedir que futuras solicitações HTTP sejam atendidas
CVE-2025-67779 (pontuação CVSS: 7,5) – Uma correção incompleta para CVE-2025-55184 que tem o mesmo impacto
CVE-2025-55183 (pontuação CVSS: 5,3) – Uma vulnerabilidade de vazamento de informações que pode fazer com que uma solicitação HTTP especificamente criada seja enviada a uma função de servidor vulnerável para retornar o código-fonte de qualquer função de servidor
No entanto, a exploração bem-sucedida do CVE-2025-55183 requer a existência de uma função de servidor que exponha explícita ou implicitamente um argumento que foi convertido em um formato de string.
As falhas que afetam as seguintes versões de react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack -
CVE-2025-55184 e CVE-2025-55183 - 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 e 19.2.1
CVE-2025-67779 - 19.0.2, 19.1.3 e 19.2.2
Os pesquisadores de segurança RyotaK e Shinsaku Nomura foram creditados por relatar os dois bugs DoS ao programa Meta Bug Bounty, enquanto Andrew MacPherson foi reconhecido por relatar a falha de vazamento de informações.
Os usuários são aconselhados a atualizar para as versões 19.0.3, 19.1.4 e 19.2.3 o mais rápido possível, especialmente à luz da exploração ativa do CVE-2025-55182.
“Quando uma vulnerabilidade crítica é divulgada, os pesquisadores examinam caminhos de código adjacentes em busca de técnicas de exploração variantes para testar se a mitigação inicial pode ser contornada”, disse a equipe do React. “Esse padrão aparece em toda a indústria, não apenas em JavaScript. Divulgações adicionais podem ser frustrantes, mas geralmente são um sinal de um ciclo de resposta saudável”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novas #vulnerabilidades #do #react #rsc #permitem #dos #e #exposição #do #códigofonte
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário