ช่องโหว่ใน React Server Components ร้ายแรงระดับวิกฤติ ควรอัพเดตทันที
Body
โครงการ React รายงานถึงช่องโหว่ CVE-2025-55182 ใน React Server Components Framework (RSC) ซึ่งกระทบไปถึง NextJS, React Router และโครงการอื่นๆ เช่น Vite RSC Plugin
ช่องโหว่เกิดขึ้นเมื่อคนร้ายยิง HTTP request เข้าไปยัง Server Function แล้ว RSC จะถอดข้อมูลออกมาเป็นโค้ดที่รันบนเซิร์ฟเวอร์ ส่งผลให้กลายเป็นช่องโหว่รันโค้ดระยะไกล
ช่องโหว่กระทบ React Server Components เวอร์ชั่น 19.0.x, 19.1.x, และ 19.2.x โดยตอนนี้มีแพตช์ทั้งหมดแล้ว แต่ผลกระทบที่อาจจะเป็นวงกว้างกว่าคือ NextJS 15.x และ 16.x ตอนนี้ซอฟต์แวร์ทั้งหมดมีแพตช์แล้วควรอัพเดตทันที เนื่องจากเริ่มมีรายงานว่ากลุ่มแฮกเกอร์หลายกลุ่มเริ่มโจมตีช่องโหว่นี้แล้ว
ช่องโหว่นี้รายงานโดย Lachlan Davidson ผ่านโครงการ Meta Bug Bounty คะแนนความร้ายแรง 10.0 เต็มตามแนวทาง CVSS 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
ที่มา - React
lew Sat, 06/12/2025 - 11:58
Continue reading...
Body
โครงการ React รายงานถึงช่องโหว่ CVE-2025-55182 ใน React Server Components Framework (RSC) ซึ่งกระทบไปถึง NextJS, React Router และโครงการอื่นๆ เช่น Vite RSC Plugin
ช่องโหว่เกิดขึ้นเมื่อคนร้ายยิง HTTP request เข้าไปยัง Server Function แล้ว RSC จะถอดข้อมูลออกมาเป็นโค้ดที่รันบนเซิร์ฟเวอร์ ส่งผลให้กลายเป็นช่องโหว่รันโค้ดระยะไกล
ช่องโหว่กระทบ React Server Components เวอร์ชั่น 19.0.x, 19.1.x, และ 19.2.x โดยตอนนี้มีแพตช์ทั้งหมดแล้ว แต่ผลกระทบที่อาจจะเป็นวงกว้างกว่าคือ NextJS 15.x และ 16.x ตอนนี้ซอฟต์แวร์ทั้งหมดมีแพตช์แล้วควรอัพเดตทันที เนื่องจากเริ่มมีรายงานว่ากลุ่มแฮกเกอร์หลายกลุ่มเริ่มโจมตีช่องโหว่นี้แล้ว
ช่องโหว่นี้รายงานโดย Lachlan Davidson ผ่านโครงการ Meta Bug Bounty คะแนนความร้ายแรง 10.0 เต็มตามแนวทาง CVSS 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
ที่มา - React
lew Sat, 06/12/2025 - 11:58
Continue reading...