Chyba vychází z nebezpečné deserializace dat v protokolu „Flight“, který React používá pro komunikaci mezi serverovými a klientskými komponentami. Útočník může odeslat jediný škodlivý HTTP požadavek a spustit tak libovolný kód přímo na backendu aplikace – bez nutnosti autentizace a i při výchozí konfiguraci.

Situace je závažná: detailní Proof of Concept je veřejně dostupný a bezpečnostní týmy již potvrzují aktivní zneužívání v reálném provozu. Útočníci, včetně státem podporovaných skupin, masivně skenují web a kompromitují zranitelné servery za účelem špionáže, distribuce malwaru nebo kryptoměnové těžby. Mnozí odborníci přirovnávají dopad této chyby k legendární Log4Shell, nejen pro podobný název, ale i pro její potenciál ohrozit širokou část moderní webové infrastruktury.

Jedinou účinnou obranou je okamžité patchování. Uživatelé Next.js by měli neprodleně aktualizovat na verze 15.1.0 a novější nebo použít opravené canary buildy pro verzi 14. Uživatelé jiných frameworků založených na Reactu 19 (např. Waku, RedwoodJS) by měli ověřit dostupnost bezpečnostních aktualizací u jejich vývojářů. I když lze dočasně zmírnit riziko pomocí WAF s cíleným filtrováním, tato opatření nejsou spolehlivá dlouhodobě. V případě aplikací využívajících React Server Components je aktualizace nevyhnutelná.

ZDROJ: www.root.czb.gov.cz