Comments 15
Странно, что у вас не было контрольного сервера, на который просто сливались логи состояния сервера. Вот то что называете "регламент поиска и устранения проблем на нашем сервере", с каким нибудь разумным периодом - так хоть концы можно будет найти)
Привет десериализация, в пхп были, в питоне были... Теперь нода. Одна и та же бага... 😂
Эти косвенные вызовы и неявные связывания -- удобство для программистов -- поэтому и повторяется из стека в стек. Очень "хороши" для статического анализа -- код легко проходит сканы и идет в прод. Интересно если AI начать тренировать на такие вещи? Новерное будет больше толка.
Да, уязвимость критическая, но сколько таких уязвимостей может скрываться в React
Стоит называть вещи своими именами, новомодные серверные компоненты - это скорее про Next и прочие SSR, но не про сам React, потому что в базовом SPA этих проблем нет и быть не может по определению
летом смотрел MCP (для ЛЛМ который) - авторизация была в бета, хорошо хоть не забыли.
Про права доступа часто забывают
Жду статью про secfrod, будет полезно
я правильно понимаю что вы прямо на хостовой системе запускали сервис под рутом (или пользователем с sudo), получив шелл к этому сервису он сразу получил root
или он получив рут дальше локально повышал привелении?
может стоит пожумать над следующими вещами
не запускать сервисы от рута или пользователей с sudo
может стоит запускать процессы сервисов в изолированном окружение
обновлять хостовую систему.
второй пункт в случае инцидента позволит перезапустить сервис без майнера, пока идет основной разбор инцидента.
я никак не хочу обелить nextjs, факапы случаются, но запуск с sudo это ССЗБ, за такое надо наказывать.
Next JS и React опять дал сбой? CVE-2025-55182, или о том как легко ломают сервера