Next JS и React опять дал сбой? CVE-2025-55182, или о том как легко ломают сервера

[hardegor]

Странно, что у вас не было контрольного сервера, на который просто сливались логи состояния сервера. Вот то что называете "регламент поиска и устранения проблем на нашем сервере", с каким нибудь разумным периодом - так хоть концы можно будет найти)

[Fcore]

Согласен, централизованное логирование существенно упростило бы расследование. Это один из выводов, который мы сделали из этой ситуации. Планируем внедрить систему сбора логов на отдельный сервер с достаточным периодом хранения.

[datacompboy]

Привет десериализация, в пхп были, в питоне были... Теперь нода. Одна и та же бага... 😂

[Fcore]

По сути да, одни и те же паттерны уязвимостей в разных стеках. Главное теперь научиться их не повторять)

[Dmitri-D]

Эти косвенные вызовы и неявные связывания -- удобство для программистов -- поэтому и повторяется из стека в стек. Очень "хороши" для статического анализа -- код легко проходит сканы и идет в прод. Интересно если AI начать тренировать на такие вещи? Новерное будет больше толка.

[winkyBrain]

Да, уязвимость критическая, но сколько таких уязвимостей может скрываться в React

Стоит называть вещи своими именами, новомодные серверные компоненты - это скорее про Next и прочие SSR, но не про сам React, потому что в базовом SPA этих проблем нет и быть не может по определению