React2Shell: چطور یه کنجکاوی ساده به یه آسیبپذیری بحرانی در React تبدیل شد
ریاکت
جاوااسکریپتلاکلان دیویدسون، محقق امنیتی، در نوامبر ۲۰۲۵ یه آسیبپذیری بحرانی اجرای کد از راه دور (RCE) در React کشف کرد که با نام React2Shell و شناسه CVE-2025-55182 ثبت شد. ریشه آسیبپذیری در پروتکل داخلی React به اسم Flight بود؛ پروتکلی که برای انتقال داده بین React Server Components و مرورگر طراحی شده. این پروتکل بدون بررسی کافی امنیتی، اجازه میداد مهاجم توابع و آبجکتهای دلخواه رو به سرور تزریق کنه. متا در ۳ دسامبر ۲۰۲۵ پچ و advisory عمومی منتشر کرد.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
لاکلان دیویدسون یه روز عادی کاری داشت که ناگهان کنجکاوش شد پروتکل داخلی React رو بهتر بشناسه. اون تا اون موقع مثل بقیه، فرمت عجیبوغریب درخواستهای React Server Functions رو نادیده میگرفت. اما این بار تصمیم گرفت بفهمه این پروتکل — که اسمش Flight هست — دقیقاً چطور کار میکنه.
Flight پروتکلیه که React برای انتقال دادههای پیچیده بین سرور و مرورگر طراحی کرده. برخلاف JSON ساده، این پروتکل از انواع دادهای مثل Date، BigInt، Map و حتی Promise پشتیبانی میکنه. پیامها به چنکهای مجزا تقسیم میشن و میتونن بهصورت ناهمگام و خارج از ترتیب برسن. نکته مهم اینه که با سینتکس $x:y میشه مستقیماً به property یه آبجکت ارجاع داد.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
