Kritikal na Kahinaan sa React Server Components
Isang kritikal na bug sa React Server Components ang ginagamit upang hijack ang mga server, ubusin ang mga crypto wallet, magtanim ng mga Monero miner, at palalimin ang isang $3B na alon ng pagnanakaw sa 2025, sa kabila ng mga agarang panawagan para sa pag-patch. Ang kahinaang ito sa seguridad ay nagbigay-daan sa mga agarang babala sa buong industriya ng cryptocurrency, habang ang mga banta ay sinasamantala ang depektong ito upang ubusin ang mga wallet at mag-deploy ng malware, ayon sa Security Alliance.
Pag-anunsyo ng Kahinaan
Inanunsyo ng Security Alliance na ang mga crypto-drainers ay aktibong ginagamit ang CVE-2025-55182, na humihimok sa lahat ng mga website na suriin ang kanilang front-end code kaagad para sa mga kahina-hinalang asset. Ang kahinaang ito ay hindi lamang nakakaapekto sa mga Web3 protocol kundi pati na rin sa lahat ng mga website na gumagamit ng React, kung saan ang mga umaatake ay nagta-target sa mga permit signature sa iba’t ibang platform. Nahaharap ang mga gumagamit sa panganib kapag pumipirma ng mga transaksyon, habang ang masamang code ay humaharang sa komunikasyon ng wallet at nagre-redirect ng mga pondo sa mga address na kontrolado ng mga umaatake, ayon sa mga mananaliksik sa seguridad.
Detalye ng Vulnerability
Ipinahayag ng opisyal na koponan ng React ang CVE-2025-55182 noong Disyembre 3, na niranggo ito ng CVSS 10.0 kasunod ng ulat ni Lachlan Davidson noong Nobyembre 29 sa pamamagitan ng Meta Bug Bounty. Ang hindi awtorisadong remote code execution vulnerability ay sinasamantala ang paraan ng pag-decode ng React sa mga payload na ipinadala sa mga Server Function endpoint, na nagpapahintulot sa mga umaatake na lumikha ng masamang HTTP requests na nagpapatakbo ng arbitrary code sa mga server, ayon sa pahayag.
Mga Apektadong Bersyon at Patch
Ang depekto ay nakakaapekto sa mga bersyon ng React 19.0, 19.1.0, 19.1.1, at 19.2.0 sa mga package ng react-server-dom-webpack, react-server-dom-parcel, at react-server-dom-turbopack. Ang mga pangunahing framework, kabilang ang Next.js, React Router, Waku, at Expo, ay nangangailangan ng agarang mga update, ayon sa advisory. Dumating ang mga patch sa mga bersyon 19.0.1, 19.1.2, at 19.2.1, na ang mga gumagamit ng Next.js ay kinakailangang mag-upgrade sa iba’t ibang release lines mula 14.2.35 hanggang 16.0.10, ayon sa mga tala ng release.
Bagong Kahinaan at Proteksyon
Natuklasan ng mga mananaliksik ang dalawang bagong kahinaan sa React Server Components habang sinusubukan nilang samantalahin ang mga patch, ayon sa mga ulat. Ang patch para sa React2Shell ay nananatiling epektibo para sa Remote Code Execution exploit, sinabi ng mga mananaliksik. Nag-deploy ang Vercel ng mga patakaran sa Web Application Firewall upang awtomatikong protektahan ang mga proyekto sa kanilang platform, bagaman binigyang-diin ng kumpanya na ang proteksyon ng WAF lamang ay hindi sapat. Kinakailangan ang agarang mga upgrade sa isang patched na bersyon, ayon sa Vercel sa kanyang security bulletin noong Disyembre 3.
Malawakang Pag-atake
Naidokumento ng Google Threat Intelligence Group ang malawakang mga pag-atake na nagsimula noong Disyembre 3, na nag-track ng mga kriminal na grupo mula sa mga opportunistic hackers hanggang sa mga operasyon na suportado ng gobyerno. Ang mga grupong Chinese hacking ay nag-install ng iba’t ibang uri ng malware sa mga compromised na sistema, pangunahing nagta-target sa mga cloud server sa Amazon Web Services at Alibaba Cloud, ayon sa ulat.
Crypto-Mining at Underground Forums
Ang mga kriminal na pinapagana ng pera ay sumali sa alon ng pag-atake simula noong Disyembre 5, na nag-install ng crypto-mining software na gumagamit ng computing power ng mga biktima upang makabuo ng Monero, ayon sa mga mananaliksik sa seguridad. Ang mga miner na ito ay tumatakbo nang tuloy-tuloy sa background, nagpapataas ng mga gastos sa kuryente habang bumubuo ng kita para sa mga umaatake. Ang mga underground hacking forums ay mabilis na napuno ng mga talakayan na nagbabahagi ng mga tool sa pag-atake at karanasan sa pagsasamantala, napansin ng mga mananaliksik.
Mga Nakaraang Insidente at Pagnanakaw
Ang kahinaan ng React ay sumusunod sa isang pag-atake noong Setyembre 8 kung saan ang mga hacker ay nakompromiso ang npm account ni Josh Goldberg at nag-publish ng masamang mga update sa 18 malawakang ginagamit na mga package. Inilarawan ni Ledger CTO Charles Guillemet ang insidente bilang isang “malawakang pag-atake sa supply chain,” na nagpapayo sa mga gumagamit na walang hardware wallets na iwasan ang mga on-chain na transaksyon.
Data ng Pagnanakaw
Ipinapakita ng data ng Global Ledger na ang mga hacker ay nagnakaw ng higit sa $3 bilyon sa 119 na insidente sa unang kalahati ng 2025, na ang 70% ng mga paglabag ay kinasasangkutan ng mga pondo na inilipat bago sila naging pampubliko. Tanging 4.2% ng mga ninakaw na asset ang naibalik, habang ang laundering ngayon ay tumatagal ng mga segundo sa halip na mga oras.
Payo sa Seguridad
Ang mga organisasyong gumagamit ng React o Next.js ay pinapayuhan na agad na mag-patch sa mga bersyon 19.0.1, 19.1.2, o 19.2.1, mag-deploy ng mga patakaran ng WAF, suriin ang lahat ng dependencies, subaybayan ang network traffic para sa wget o cURL na mga utos na sinimulan ng mga proseso ng web server, at hanapin ang mga hindi awtorisadong nakatagong direktoryo o masamang shell configuration injections, ayon sa mga advisory sa seguridad.
