Kriittinen haavoittuvuus Reactin React Server Components -toiminnallisuudessa

React on hyvin laajasti käytetty JavaScript-kirjasto, jota käytetään erityisesti web-käyttöliittymien toteutukseen.

Lähtökohtaisesti kaikki tuotteet, jotka käyttävät versioita 19.0, 19.1.0, 19.1.1 ja 19.2.0 seuraavista paketeista, ovat haavoittuvia:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

Korjaavat versiot ovat 19.0.1, 19.1.2 ja 19.2.1

React on tunnistanut ainakin seuraavien tuotteiden käyttävän kyseisiä paketteja: Next.js, React Router, Expo, Redwood SDK, Waku ja  @vitejs/plugin-rsc.

Haavoittuvuus saattaa koskea myös kaikkia tuotteita, jotka käyttävät React Server Components -toiminnallisuutta hyväkseen tai tukevat kyseistä toiminnallisuutta.

Haavoittuvuus koskee niin organisaatioita, kuin loppukäyttäjiäkin. On erittäin suositeltavaa päivittää käyttämänsä tuotteet aktiivisesti ajan tasalle.

Haavoittuvuuden avulla todentamaton hyökkääjä voi suorittaa mielivaltaista koodia haavoittuvassa järjestelmässä HTTP-kutsun kautta.

Haavoittuvuuden aktiivista hyväksikäyttöä on havaittu myös Suomessa. Haavoittuvuuden hyväksikäyttömenetelmiä on julkisesti tiedossa. Kansainvälisten havaintojen perusteella on mahdollista, että uhkatoimijat pyrkivät näkyvien toimien, kuten kryptolouhinnan lisäksi pitämään pysyvämpää jalansijaa ympäristössä, minkä vuoksi suosittelemme haavoittuvuudelle altistuneiden järjestelmien huolellista tarkastamista.

Asenna päivitykset välittömästi valmistajan ohjeiden mukaisesti. Seuraa myös valmistajien ilmoituksia haavoittuvuudesta. Ota huomioon, että React-komponenttia on voitu käyttää muiden valmistajien tuotteissa ja järjestelmissä, jotka on myös päivitettävä välittömästi ja tutkittava murron varalta.