Делимся нашими рекомендациями.

Сегодня Meta* и Vercel раскрыли две уязвимости с риском удаленного выполнения кода. Используя их, злоумышленники могут получить доступ к серверу.

Уязвимости были найдены в фреймворке React Server Components (RSC), который ускоряет работы приложений на React благодаря тому, что переносит часть логики на сервер:

• Уязвимые версии: React 19 — React 19.2.0
• Фикс
• Информация на сайте React.dev

А также в Next.js — фреймворке для веб‑разработки, основанном на React:

• Уязвимые версии: Next.js 15 — Next.js 16
• Фикс
• Информация на сайте Nextjs.org

Специалисты по безопасности Yandex Cloud поделились рекомендациями, что можно сделать, чтобы обезопасить свои приложения:

1. Всем — обновить React до версии 19.2.1, Next.js — до версий 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7.
2. Пользователям Yandex Smart Web Security — в WAF уже есть правило yars-v0.1.0-id8080234-attack-rce, которое защищает наших клиентов от уязвимости. Активируйте его.
3. Защита от CVE также появилась в on-premises SolidWall, а обнаружение — в SolidPoint.

Компоненты Yandex Cloud запатчены, поэтому дополнительно делать ничего не нужно.

Если вам нужна дополнительная информация, пожалуйста, напишите на cloudtrust@yandex-team.ru.

*Meta признана экстремистской организацией и запрещена в РФ.

.

Источник: https://yandex.cloud/ru/blog/reactserver-components-nextjs