Уязвимость угрожает 6% всех веб-сайтов

Угроза безопасности для веб-сайтов

Специалисты по безопасности готовятся к последствиям раскрытия уязвимости максимальной степени серьезности, которая была объявлена в среду в React Server — популярном открытом пакете, широко используемом на веб-сайтах и в облачных средах. Эта уязвимость легко эксплуатируется и позволяет злоумышленникам выполнять вредоносный код на серверах, на которых он работает.

Что такое React?

React — это библиотека, встроенная в веб-приложения, работающие на серверах, что позволяет удаленным устройствам быстрее отображать JavaScript и контент, используя при этом меньше ресурсов. Оценки показывают, что React используется примерно на 6% всех сайтов и 39% облачных сред.

Как работает уязвимость?

Когда конечные пользователи обновляют страницу, React позволяет серверам перерисовывать только те части, которые изменились, что значительно ускоряет работу и снижает вычислительные ресурсы, необходимые серверу. Компания Wiz, занимающаяся вопросами безопасности, оценивает уязвимость на «идеальные 10», отметив, что для ее эксплуатации требуется всего один HTTP-запрос и тестирование показало «почти 100% надежность».

Кто под угрозой?

Множество программных фреймворков и библиотек по умолчанию включают реализации React. В результате даже те приложения, которые не используют функциональность React напрямую, могут оказаться уязвимыми из-за интеграционного слоя, который вызывает проблемный код.