React Server Components में DoS और स्रोत कोड एक्सपोज़र कमजोरियों का खुलासा

 (react.dev)
4 पॉइंट द्वारा GN⁺ 2025-12-13 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • React Server Components में Denial of Service (DoS) और स्रोत कोड एक्सपोज़र की नई कमजोरियाँ खोजकर सार्वजनिक की गईं
  • इस बार इन कमजोरियों में Remote Code Execution (RCE) संभव नहीं है, लेकिन सर्वर बंद होने या कोड लीकेज का जोखिम मौजूद है
  • प्रभावित पैकेज react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack के 19.0.0~19.2.2 संस्करण हैं; फिक्स्ड वर्ज़न 19.0.3, 19.1.4, 19.2.3 हैं
  • DoS कमजोरी (CVE-2025-55184, CVE-2025-67779) में मालिशियस HTTP request के कारण सर्वर में infinite loop हो सकता है, जबकि स्रोत कोड एक्सपोज़र कमजोरी (CVE-2025-55183) से server function का कुछ code वापस आ सकता है
  • React टीम ने तुरंत अपग्रेड करने की सलाह दी है और इस अतिरिक्त खुलासे को security response cycle का normal part बताया है

नई सार्वजनिक कमजोरियों का अवलोकन

  • सुरक्षा शोधकर्ताओं ने पिछले हफ्ते सार्वजनिक किए गए क्रिटिकल vulnerability पैच के सत्यापन के दौरान दो अतिरिक्त कमजोरियाँ खोजीं
  • नई कमजोरियों में Remote Code Execution (RCE) संभव नहीं है, और पहले वाला React2Shell patch अभी भी valid है
  • नई सार्वजनिक कमजोरियाँ इस प्रकार हैं
    • DoS — CVE-2025-55184, CVE-2025-67779 (CVSS 7.5, उच्च गंभीरता)
    • स्रोत कोड एक्सपोज़र — CVE-2025-55183 (CVSS 5.3, मध्यम गंभीरता)
  • React टीम ने तुरंत अपग्रेड की सलाह दी है

पहले के पैच की अपूर्णता

  • पिछले हफ्ते रिलीज़ हुए 19.0.2, 19.1.3, 19.2.2 के पैच पूर्ण नहीं थे, इसलिए फिर से अपडेट की आवश्यकता है
  • पूर्ण फिक्स 19.0.3, 19.1.4, 19.2.3 संस्करणों में शामिल हैं
  • पहले के पोस्ट की अपडेट गाइडलाइंस का पालन करें
  • पूर्ण फिक्स रोलआउट के बाद अतिरिक्त विवरण बाद में जारी किए जाएँगे

प्रभावित पैकेज और संस्करण

  • यह कमजोरी उसी पैकेज और संस्करणों में मौजूद है जिनमें पहले का CVE-2025-55182 पाया गया था
  • प्रभावित संस्करण: 19.0.0~19.2.2
  • प्रभावित पैकेज:
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • फिक्स संस्करण: 19.0.3, 19.1.4, 19.2.3
  • जो app server का उपयोग नहीं करते या React Server Components support नहीं करते, वे प्रभावित नहीं होंगे

अतिरिक्त vulnerabilities सार्वजनिक होने का सामान्य पैटर्न

  • क्रिटिकल CVE सार्वजनिक होने के बाद संबंधित code paths की अतिरिक्त जाँच के दौरान अक्सर और कमजोरियाँ मिलती हैं
  • उदाहरण के तौर पर Log4Shell के बाद और CVE रिपोर्ट होने के केसों का उल्लेख किया गया है
  • ऐसे अतिरिक्त खुलासे दिखाते हैं कि security response ठीक तरह से काम कर रही है

प्रभावित frameworks और bundlers

  • नीचे दिए गए frameworks/bundlers उन vulnerable React पैकेजों को include या depend करते हैं
    • next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk
  • पहले के पोस्ट की अपडेट गाइडलाइंस का पालन करें

होस्टिंग providers द्वारा mitigation

  • कई होस्टिंग providers के साथ मिलकर temporary mitigations लागू किए गए
  • फिर भी केवल उन्हीं पर भरोसा न करें; तुरंत अपडेट ज़रूरी है

React Native संबंधित निर्देश

  • React Native अकेले उपयोग करने वाले डेवलपर्स के लिए अतिरिक्त कार्रवाई की जरूरत नहीं है
  • Monorepo setup में केवल ये पैकेज अपडेट करने होंगे
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • react और react-dom को अपडेट करने की जरूरत नहीं है
  • संबंधित details के लिए React Native GitHub issue देखें

उच्च गंभीरता: DoS

  • CVE-2025-55184, CVE-2025-67779, CVSS 7.5
  • अगर malicious HTTP request को React server function endpoint पर भेजा जाए, तो deserialization के दौरान infinite loop ट्रिगर हो सकता है
  • server process crash हो सकता है और CPU का heavy usage हो सकता है
  • सीधे server function endpoint implement न भी किया हो, तो भी अगर app React Server Components support करता हो तो वह vulnerable हो सकता है
  • आज जारी हुए patch ने infinite loop रोककर समस्या हल की
  • शुरुआत का fix अधूरा था, जिसे अतिरिक्त weakness (CVE-2025-67779) के साथ complete किया गया

मध्यम गंभीरता: स्रोत कोड एक्सपोज़र

  • CVE-2025-55183, CVSS 5.3
  • malicious HTTP request से server function का स्रोत कोड का कुछ हिस्सा return हो सकता है
  • यह तभी संभव होता है जब server function का string argument explicit या implicit तरीके से exposed हो
  • उदाहरण में database connection keys जैसी hard-coded secret values लीक हो सकती हैं
  • patch ने server function source code को stringified होने से रोककर समस्या ठीक की
  • एक्सपोज़र सिर्फ server function के अंदर के code तक सीमित है, जबकि runtime secrets (process.env.SECRET आदि) प्रभावित नहीं होते
  • इसे production bundle के आधार पर validate करना ज़रूरी है

टाइंलाइन

  • 3 दिसंबर: Andrew MacPherson ने Vercel और Meta Bug Bounty पर source code exposure रिपोर्ट किया
  • 4 दिसंबर: RyotaK ने DoS weakness रिपोर्ट की
  • 6 दिसंबर: React टीम ने दोनों मुद्दों की पुष्टि की और investigation शुरू की
  • 7 दिसंबर: प्रारंभिक फिक्स लिखा गया और validation प्लान बनाया गया
  • 8 दिसंबर: होस्टिंग providers और open source प्रोजेक्ट्स को notify किया गया
  • 10 दिसंबर: mitigation लागू और patch validation complete हुआ
  • 11 दिसंबर: Shinsaku Nomura ने अतिरिक्त DoS रिपोर्ट की, और CVE-2025-55183, 55184, 67779 सार्वजनिक किए

रिपोर्ट करने वाले

  • Andrew MacPherson (AndrewMohawk) — स्रोत कोड एक्सपोज़र रिपोर्ट की
  • RyotaK (GMO Flatt Security Inc) और Shinsaku Nomura (Bitforest Co., Ltd.) — DoS कमजोरियों की रिपोर्ट की

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.