พบช่องโหว่ใหม่ของ React อีกรอบ อาจทำให้เกิดการโจมตีแบบ DoS และ Source Code รั่วไหลได้

ทีมนักพัฒนา React ได้ออกแพตช์แก้ไขช่องโหว่ใหม่ 2 รายการใน React Server Components (RSC) ซึ่งหากถูกโจมตีสำเร็จ อาจส่งผลให้เกิดการโจมตี DoS หรือการรั่วไหลของ Source Code ได้

ทีมนักพัฒนา React ระบุว่า ช่องโหว่เหล่านี้ถูกพบโดยกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยขณะพยายามโจมตีแพตช์ที่ปล่อยออกมาสำหรับ CVE-2025-55182 (คะแนน CVSS: 10.0) ซึ่งเป็นช่องโหว่ระดับ Critical ใน RSC ที่กำลังถูกโจมตีจริงอยู่ในปัจจุบัน

ช่องโหว่ทั้งสามรายการมีดังต่อไปนี้

  • CVE-2025-55184 (คะแนน CVSS: 7.5) - ช่องโหว่การโจมตีแบบ pre-authentication Denial of Service (DoS) ซึ่งเกิดจากการ deserialization เพย์โหลดที่ไม่ปลอดภัยจาก HTTP request ไปยัง Server Function endpoints ทำให้เกิด infinite loop ที่หยุดการทำงานของ server process และทำให้ HTTP request หลังจากนั้นไม่สามารถเรียกใช้งานได้
  • CVE-2025-67779 (คะแนน CVSS: 7.5) - เกิดจากการแก้ไขที่ไม่สมบูรณ์สำหรับ CVE-2025-55184 ซึ่งมีผลกระทบเช่นเดียวกัน
  • CVE-2025-55183 (คะแนน CVSS: 5.3) - ช่องโหว่ information leak ที่อาจทำให้ HTTP request ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งส่งไปยัง Server Function ที่มีช่องโหว่ ส่งผลให้มีการแสดงผลซอร์สโค้ดของฟังก์ชันเซิร์ฟเวอร์ใด ๆ ก็ได้

อย่างไรก็ตาม การโจมตีโดยใช้ประโยชน์จาก CVE-2025-55183 ได้สำเร็จนั้นจำเป็นต้องมี Server Function ที่เปิดเผยอย่างชัดเจน หรือมีอาร์กิวเมนต์ที่ถูกแปลงเป็นรูปแบบสตริงแล้ว

ช่องโหว่ดังกล่าวส่งผลกระทบต่อเวอร์ชันต่อไปนี้ของ react-server-dom-parcel, react-server-dom-turbopack และ react-server-dom-webpack

  • CVE-2025-55184 และ CVE-2025-55183 : 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 และ 19.2.1
  • CVE-2025-67779 : 19.0.2, 19.1.3 และ 19.2.2

นักวิจัยด้านความปลอดภัย RyotaK และ Shinsaku Nomura ได้รับเครดิตว่าเป็นผู้รายงานช่องโหว่ DoS สองรายการนี้ไปยังโปรแกรม Meta Bug Bounty ในขณะที่ Andrew MacPherson ได้รับเครดิตว่าเป็นผู้รายงานช่องโหว่ information leak

ขอแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชัน 19.0.3, 19.1.4 และ 19.2.3 โดยเร็วที่สุด โดยเฉพาะอย่างยิ่งเนื่องจากการโจมตีก่อนหน้านี้จำนวนมากจากช่องโหว่ CVE-2025-55182

ทีมพัฒนา React ระบุว่า "เมื่อมีการเปิดเผยช่องโหว่ที่สำคัญ นักวิจัยจะตรวจสอบโค้ดที่อยู่ใกล้เคียง เพื่อค้นหาเทคนิคการโจมตีที่แตกต่างกัน เพื่อทดสอบว่ามาตรการแก้ไขเบื้องต้นสามารถถูก Bypass ได้หรือไม่" "รูปแบบนี้ใช้กับทุกระบบ ไม่ใช่แค่ใน JavaScript เท่านั้น การเปิดเผยเพิ่มเติมอาจทำให้รู้สึกน่าหงุดหงิด(ที่อาจต้องอัปเดตอีกรอบ) แต่โดยทั่วไปแล้วถือเป็นสัญญาณของการตอบสนองที่ดี"

ที่มา : thehackernews