React vá khẩn loạt lỗ hổng mới trong RSC: Nguy cơ tê liệt hệ thống và lộ mã nguồn

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.416 bài viết
React vá khẩn loạt lỗ hổng mới trong RSC: Nguy cơ tê liệt hệ thống và lộ mã nguồn
WhiteHat Team
Sau khi lỗ hổng React2Shell gây xôn xao cộng đồng an ninh mạng vào đầu tháng 12/2025, các nhà nghiên cứu đã tiếp tục phân tích sâu các bản vá được phát hành. Chính trong quá trình này, những lỗ hổng mới đã được phát hiện, cho thấy các điểm yếu còn tồn tại trong chu trình vá lỗi của React Server Components (RSC). Các lỗ hổng này có thể bị lợi dụng để gây tấn công từ chối dịch vụ (DoS) hoặc làm lộ mã nguồn phía máy chủ, đe dọa trực tiếp đến tính ổn định và an toàn của các ứng dụng web.
1765782131762.png

Các phát hiện mới cho thấy rủi ro không chỉ nằm ở một lỗi đơn lẻ, mà xuất phát từ cách RSC tiếp nhận và xử lý các yêu cầu HTTP gửi tới Server Function. Trong bối cảnh RSC ngày càng được tích hợp sâu vào các kiến trúc web hiện đại nhằm tối ưu hiệu năng và trải nghiệm người dùng, những điểm yếu ở tầng xử lý phía máy chủ có thể nhanh chóng bị khuếch đại, đặc biệt với các hệ thống có lượng truy cập lớn. Việc rà soát các luồng xử lý liên quan đã làm lộ thêm những kịch bản tấn công mới, phản ánh những hạn chế trong cơ chế kiểm soát dữ liệu đầu vào của RSC.​

Các mã lỗ hổng và mức độ nguy hiểm​

Ba lỗ hổng được công bố bao gồm:​
  • CVE-2025-55184 (CVSS 7,5): Đây là lỗ hổng từ chối dịch vụ trước xác thực, phát sinh từ việc giải tuần tự dữ liệu HTTP không an toàn gửi tới các Server Function. Một payload được thiết kế đặc biệt có thể khiến server rơi vào vòng lặp vô hạn, làm treo tiến trình xử lý và ngừng phục vụ các yêu cầu tiếp theo.​
  • CVE-2025-67779 (CVSS 7,5): Lỗ hổng này xuất phát từ bản vá chưa đầy đủ cho CVE-2025-55184. Dù đã được khắc phục một phần, cơ chế xử lý vẫn cho phép kịch bản gây DoS tương tự xảy ra.​
  • CVE-2025-55183 (CVSS 5,3): Đây là lỗ hổng rò rỉ thông tin, cho phép một HTTP request được chế tạo đặc biệt khiến Server Function trả về mã nguồn phía server. Việc khai thác thành công phụ thuộc vào việc ứng dụng có tồn tại Server Function sử dụng tham số được chuyển đổi sang dạng chuỗi hay không.​

Cơ chế khai thác và cách lỗ hổng bị lợi dụng​

Với hai lỗ hổng DoS, kẻ tấn công không cần đăng nhập hay có quyền đặc biệt. Chỉ cần gửi yêu cầu HTTP chứa payload độc hại tới endpoint của Server Function, quá trình giải tuần tự không an toàn sẽ kích hoạt vòng lặp vô hạn, khiến tiến trình server bị “đóng băng”.

Trong khi đó, lỗ hổng rò rỉ mã nguồn khai thác cách React phản hồi dữ liệu từ Server Function. Trong điều kiện phù hợp, phản hồi HTTP có thể vô tình chứa toàn bộ mã nguồn của hàm server, làm lộ logic xử lý, cấu trúc ứng dụng và các chi tiết nhạy cảm khác.​

Rủi ro và hậu quả khi lỗ hổng bị khai thác​

Nếu bị khai thác thành công, các lỗ hổng này có thể gây ra nhiều rủi ro nghiêm trọng:​
  • Máy chủ React bị treo hoặc ngừng phản hồi hoàn toàn.​
  • Website, ứng dụng web gián đoạn dịch vụ trên diện rộng.​
  • Mã nguồn phía server bị lộ, tạo điều kiện cho các cuộc tấn công sâu hơn.​
  • Gia tăng nguy cơ bị tấn công chuỗi, đặc biệt với các hệ thống quy mô lớn.​
Trong bối cảnh CVE-2025-55182 đã bị khai thác ngoài thực tế, các lỗ hổng “phát sinh sau vá” này càng trở nên nguy hiểm, do tin tặc thường tận dụng việc đã hiểu rõ kiến trúc và luồng xử lý của hệ thống.​

Phạm vi ảnh hưởng​

Các lỗ hổng ảnh hưởng đến nhiều gói react-server-dom phổ biến, bao gồm:​
  • react-server-dom-parcel​
  • react-server-dom-turbopack​
  • react-server-dom-webpack​
Các phiên bản React từ 19.0.0 đến 19.2.2 đều nằm trong phạm vi ảnh hưởng, tùy theo từng CVE cụ thể.​

Giải pháp và khuyến nghị từ chuyên gia an ninh mạng​

React đã phát hành bản vá chính thức và khuyến cáo người dùng cập nhật ngay lên các phiên bản an toàn:​
  • 19.0.3​
  • 19.1.4​
  • 19.2.3​
Bên cạnh việc cập nhật, các chuyên gia an ninh mạng khuyến nghị:​
  • Rà soát toàn bộ Server Function đang được triển khai.​
  • Hạn chế việc xử lý và chuyển đổi dữ liệu đầu vào không cần thiết.​
  • Theo dõi và giám sát các request bất thường nhắm vào Server Function.​
  • Kết hợp các biện pháp bảo vệ như rate limiting, WAF và logging chi tiết để phát hiện sớm hành vi tấn công.​
Xét một cách khách quan, việc phát sinh thêm lỗ hổng sau khi vá không hẳn là dấu hiệu tiêu cực, mà phản ánh một chu trình phản ứng bảo mật minh bạch và liên tục được kiểm chứng. Tuy nhiên, với các hệ thống vận hành React ở quy mô lớn, việc chậm cập nhật hoặc các bản vá chưa hoàn thiện gây tiềm ẩn nguy cơ gián đoạn dịch vụ và rủi ro khó lường. Do đó, theo dõi sát cảnh báo bảo mật, vá lỗi kịp thời và thường xuyên rà soát kiến trúc ứng dụng vẫn là biện pháp hiệu quả nhất để giảm thiểu rủi ro trước các mối đe dọa ngày càng tinh vi.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Notepad++ vá lỗ hổng nghiêm trọng cho phép cài cập nhật giả mạo
  • Patch Tuesday cuối 2025: Microsoft vá 56 lỗi, 3 zero-day bị khai thác
  • VS Code độc hại khai thác Registry Windows đánh cắp mật khẩu WiFi và chụp lại màn hình
  • SAP tung bản vá tháng 12/2025 cho 14 lỗ hổng nguy hiểm đe dọa hệ thống doanh nghiệp
  • Lỗ hổng “React2Shell” đe dọa gần một triệu máy chủ web React và Next.js toàn cầu
  • React Native CLI gặp lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi lệnh từ xa
    • Thẻ
    cve-2025-55182 cve-2025-55183 cve-2025-55184 cve-2025-67779 dos react react server components react2shell
    Bên trên