[Перевод] Уязвимость React2Shell: что произошло и какие уроки можно извлечь

3 декабря 2025 года критическая уязвимость в серверных компонентах React (React Server Components, RSC) потрясла сообщество веб-разработчиков. Была обнаружена уязвимость React2Shell/React4Shell ( CVE-2025-55182 ) с оценкой CVSS 10.0, что является максимальным баллом для уязвимостей. Ошибка позволяет удаленно выполнять код (Remote Code Execution, RCE) на любом сервере, работающем с RSC. В течение нескольких часов после обнаружения уязвимости китайские государственные группы и криптомайнинговые компании начали взламывать уязвимые серверы. В этой статье подробно разбирается, что и почему произошло, а также как незначительное, на первый взгляд, проектное решение в протоколе React Flight превратилось в одну из самых серьезных уязвимостей React в 2025 году. Мы также обсудим, как защитить себя и как эта уязвимость подчеркивает важнейшие принципы безопасности.

https://habr.com/ru/articles/982238/

#javascript #jsx #reactjs #react #exploit #vulnerability #react2shell #уязвимость #rsc #react_flight