นักวิจัยพบช่องโหว่ React Server Components ยังแก้ไม่หมดจด เปิดช่องคนร้ายยิงเว็บดับ, อ่านโค้ดได้
Body
Vercel รายงานช่องโหว่ใน React Server Components ที่เคยมีช่องโหว่เปิดทางให้คนร้ายยิงโค้ดเข้ามารันบนเซิร์ฟเวอร์ โดยหลังจากแก้ไขช่องโหว่เดิมไปแล้วก็พบว่ายังเหลือส่วนที่คนร้ายสามารถโจมตีได้อยู่อีกสองส่วน
ช่องโหว่แรก CVE-2025-55184 เป็นการยิงเพื่อให้เซิร์ฟเวอร์ไม่ตอบสนอง ตัวโปรเซสกินซีพียูต่อเนื่อง และช่องโหว่ที่สอง CVE-2025-55183 เปิดทางให้คนร้ายสามารถอ่านโค้ดฝั่งเซิร์ฟเวอร์ได้ ช่องโหว่นี้ไม่ได้เปิดเผยไฟล์อื่นๆ หรือตัวแปร env จึงไม่ควรทำให้กุญแจต่างๆ รั่วไหล ยกเว้นว่าจะ hardcode กุญแจไว้ในโค้ดโดยตรง
ช่องโหว่ยิงเซิร์ฟเวอร์กระทบ Next.js ตั้งแต่ 13.3 ขึ้นมาถึงเวอร์ชั่นปัจจุบัน ส่วนช่องโหว่อ่านโค้ดกระทบ Next.js 15.0 ขึ้นไป
ที่มา - Vercel
lew Wed, 14/01/2026 - 23:58
Continue reading...
Body
Vercel รายงานช่องโหว่ใน React Server Components ที่เคยมีช่องโหว่เปิดทางให้คนร้ายยิงโค้ดเข้ามารันบนเซิร์ฟเวอร์ โดยหลังจากแก้ไขช่องโหว่เดิมไปแล้วก็พบว่ายังเหลือส่วนที่คนร้ายสามารถโจมตีได้อยู่อีกสองส่วน
ช่องโหว่แรก CVE-2025-55184 เป็นการยิงเพื่อให้เซิร์ฟเวอร์ไม่ตอบสนอง ตัวโปรเซสกินซีพียูต่อเนื่อง และช่องโหว่ที่สอง CVE-2025-55183 เปิดทางให้คนร้ายสามารถอ่านโค้ดฝั่งเซิร์ฟเวอร์ได้ ช่องโหว่นี้ไม่ได้เปิดเผยไฟล์อื่นๆ หรือตัวแปร env จึงไม่ควรทำให้กุญแจต่างๆ รั่วไหล ยกเว้นว่าจะ hardcode กุญแจไว้ในโค้ดโดยตรง
ช่องโหว่ยิงเซิร์ฟเวอร์กระทบ Next.js ตั้งแต่ 13.3 ขึ้นมาถึงเวอร์ชั่นปัจจุบัน ส่วนช่องโหว่อ่านโค้ดกระทบ Next.js 15.0 ขึ้นไป
ที่มา - Vercel
lew Wed, 14/01/2026 - 23:58
Continue reading...