It-administratorer i alarmberedskab

Arstechnica har også en omtale af Reactsårbarheden, men dog i en anden vinkel, nemlig it-administratorernes. Fokus er på den praktiske udfordring: hvordan sikrer man hurtigt tusindvis af webapplikationer og cloudmiljøer mod en sårbarhed, der er både udbredt og ekstremt nem at udnytte?

React Server er en del af React-økosystemet, som bruges af millioner af websites og frameworks som Next.js, Vite RSC plugin og RedwoodSDK. Den nye sårbarhed (EUVD-2025-200983 / CVE-2025-55182) gør det muligt for en angriber at udføre fjernkodekørsel uden autentificering, blot ved at sende en manipuleret HTTP-request. Ifølge Wiz har angrebet “næsten 100 pct succesrate” i test.

Hvorfor er den så alvorlig?

• CVSS-score: 10 – den højeste mulige.
• Udbredt brug: React findes i ca. 6 pct af alle websites og 39 pct af cloudmiljøer.
• Let udnyttelse: kræver kun én HTTP-anmodning.
• Fuld kontrol: giver angriberen mulighed for at køre privilegeret JavaScript på serveren.

Eksperter opfordrer ifølge Arstechnica til øjeblikkelig patching. Som en researcher angiveligt har skrevet:  “I usually don’t say this, but patch right freakin’ now.”

Fejlen skyldes "usikker deserialisering" i Flight-protokollen i React Server Components. Når en server modtager en særligt udformet payload, valideres strukturen ikke korrekt, hvilket giver angriberen mulighed for at injicere og køre kode med høje privilegier.