⏺ BI.ZONE: От 10 000 до 25 000 российских веб-ресурсов могут быть под ударом из-за новой критической уязвимости
В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере (RCE).
Уязвимы компоненты React версий 19.0; 19.1.0; 19.1.1; 19.2.0. Также уязвимость затронула приложения Next.js (CVE-2025-66478).
Павел Загуменнов, руководитель решений анализа защищенности BI.ZONE: «По нашим оценкам, новая критическая уязвимость ставит под удар от 10 до 25 тысяч российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM, например BI.ZONE CPT. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее».
Смею поправить Павла, что рабочий PoC еще ночью представил пентестер из Бастиона Сергей Зыбнев и выложил у себя в канале (скрин тоже из его группы). Код уже разошелся по ИБ-группам вместе с другими PoC и доп материалами. Специалисты могут брать и проверять у себя на наличие проблем без применения других решений.
Думаю, что эту уязвимость бомбили всю ночь все кому не лень.
💬 Участвуйте в новом розыгрыше! | Telegram | VK | Сайт | Милостыня |
В этом посте были ссылки, но мы их удалили по правилам Сетки
