DevOps VietNam

Lỗ hổng bảo mật mới trong React Server Components cho phép tấn công DDoS và lộ mã nguồn

Chưa kịp khắc phục hoàn toàn mối đe dọa từ CVE-2025-55182, nhóm React đã phải phát hành các bản sửa lỗi khẩn cấp cho ba lỗ hổng mới trong React Server Components (RSC), bao gồm hai lỗi Denial-of-Service (DoS) tiền xác thực và một lỗi rò rỉ mã nguồn nghiêm trọng. Các lỗ hổng này được phát hiện khi các nhà nghiên cứu bảo mật “mổ xẻ” các bản vá trước đó, cho thấy tính năng Server Function mới của React đang trở thành bề mặt tấn công phức tạp, có thể khiến server web bị treo vĩnh viễn hoặc bị lộ mã nguồn nhạy cảm.

Hai lỗ hổng DoS, CVE-2025-55184 (CVSS: 7.5) và CVE-2025-67779 (CVSS: 7.5), đều xuất phát từ việc xử lý deserialization không an toàn của payload từ HTTP requests được gửi đến các Server Function endpoints.

Lỗi này có thể bị kích hoạt mà không cần xác thực (pre-authentication), gây ra vòng lặp vô hạn trong Server Function. Hậu quả là làm treo server process và ngăn chặn tất cả các yêu cầu HTTP tiếp theo, dẫn đến tình trạng từ chối dịch vụ hoàn toàn.

Cùng lúc đó, lỗ hổng CVE-2025-55183 (CVSS: 5.3) được xếp vào loại information leak (rò rỉ thông tin). Lỗi này cho phép kẻ tấn công tạo ra một HTTP request đặc biệt gửi đến một server function dễ bị tổn thương, buộc nó trả về source code của bất kỳ Server Function nào trên hệ thống.

Mặc dù việc khai thác lỗ hổng rò rỉ mã nguồn này có điều kiện (yêu cầu một Server Function phải làm lộ một đối số được chuyển thành định dạng chuỗi), rủi ro lộ bí mật kinh doanh và logic ứng dụng là cực kỳ cao.

Nhóm React cho biết việc phát hiện thêm các lỗ hổng (CVE-2025-55184 và CVE-2025-55183) trong các phiên bản 19.0.0, 19.0.1, 19.1.0-19.1.2, và 19.2.0-19.2.1, cùng với bản vá chưa hoàn chỉnh CVE-2025-67779 trong các phiên bản 19.0.2, 19.1.3 và 19.2.2, là dấu hiệu cho thấy các nhà nghiên cứu đang soi xét cực kỳ kỹ lưỡng các đường dẫn mã lân cận sau khi lỗi nghiêm trọng CVE-2025-55182 bị công khai.

Các nhà phát triển được khuyến cáo ngừng ngay việc trì hoãn cập nhật và chuyển sang các phiên bản 19.0.3, 19.1.4, và 19.2.3 càng sớm càng tốt để bảo vệ ứng dụng khỏi các cuộc tấn công DoS và rò rỉ mã nguồn.