⚠️ پژوهشگران اعلام کردهاند که ماژول «React Server Components (RSC)» — و بهویژه پیادهسازی «Flight protocol» — دچار یک نقص خطرناک است. دادههای ارسالی از طریق HTTP به سرور بهصورت ناامن (unsafe deserialization) پردازش میشوند، بدین معنی که مهاجم میتواند با یک درخواست ساده و بدون احراز هویت، کد دلخواه خود را روی سرور اجرا کند.
⚠️ نکته مهم: این آسیبپذیری حتی در تنظیمات پیشفرض و بدون تغییر کد نیز فعال است. در واقع اگر پروژهی شما با «create-next-app» ساخته شده و برای تولید منتشر شده باشد، در خطر است.
✳️ توصیهها:
- اگر از React 19 استفاده میکنید، باید به نسخههای اصلاحشده 19.0.1، 19.1.2 یا 19.2.1 ارتقا دهید. همچنین اگر پروژه مبتنی بر Next.js است، به روزرسانی فوری را مد نظر قرار دهید.
- در صورت استفاده از WAF رولهای متناسب را بهکار ببرید تا درخواستهای مشکوک مسدود شوند. برخی ارائهدهندگان CDN/WAF قوانین موقت برای کاهش خطر منتشر کردهاند.
شبکه اجتماعی آزمایشگاه امنیت وایت لب
