React सर्वर घटकों (React2Shell) में महत्वपूर्ण RCE — पूर्ण‑स्टैक टीमों के लिए तत्काल कार्रवाई
ReactNode.jsDevOps
Summary
- React सर्वर घटकों में एक महत्वपूर्ण, पूर्व-प्रमाणन दूरस्थ कोड निष्पादन (RCE) सुरक्षा कमी — जिसे व्यापक रूप से "React2Shell" (CVE‑2025‑55182) के रूप में रिपोर्ट किया गया है — का खुलासा दिसंबर 2025 की शुरुआत में किया गया था। आधिकारिक React पैच प्रकाशित किए गए और डाउनस्ट्रीम ढांचे (विशेष रूप से Next.js) ने सलाह और सुधार जारी किए। React सर्वर घटकों या शिपिंग सर्वर कार्यों का उपयोग करने वाले इंटरनेट-फेसिंग ऐप्स के लिए तत्काल कार्रवाई की आवश्यकता है। (react.dev)
Why this matters to full‑stack developers
- यह दोष एक एकल तैयार HTTP अनुरोध को एक कमजोर सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देता है जो React सर्वर घटक / सर्वर फ़ंक्शन पेलोड को संसाधित करता है; इस सुरक्षा कमी का CVSS स्कोर 10.0 है और इसे सक्रिय शोषण में देखा गया है। संगठनों ने वास्तविक शोषण प्रयासों की रिपोर्ट की है जो खनन करने वालों और बैकडोर को वितरित करते हैं, जिससे यह एक सैद्धांतिक से परिचालन आपातकाल में बदल गया है। (react.dev)
- प्रभावित पैकेजों में react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack और कुछ Next.js रिलीज़ शामिल हैं जो उन पर निर्भर करते हैं। कई बंडलर्स और ढांचे जो RSC समर्थन को शामिल करते हैं या प्रॉक्सी करते हैं, वे तैनात सर्वरों में इस सुरक्षा कमी को ले जा सकते हैं। (react.dev)
Immediate checklist (minutes → hours)
- Inventory: उन सेवाओं की पहचान करें जो सर्वर-साइड React एंडपॉइंट्स को उजागर करती हैं या RSC पैकेजों को शामिल करती हैं।
- अपने निर्भरता पेड़ में इन पैकेजों की खोज करें:
react-server-dom-webpack,react-server-dom-parcel,react-server-dom-turbopack, और यदि आप Next.js का उपयोग करते हैं तोnextसंस्करणों की जांच करें। (react.dev)
- अपने निर्भरता पेड़ में इन पैकेजों की खोज करें:
- Patch now: प्रभावित पैकेजों को पैच किए गए रिलीज़ में अपग्रेड करें:
- React RSC पैकेजों को 19.0.1, 19.1.2, और 19.2.1 जैसे रिलीज़ में पैच किया गया है। तुरंत अपग्रेड करें और पुनर्निर्माण/तैनात करें। (react.dev)
- Next.js को Next.js सलाह में सूचीबद्ध पैच किए गए संस्करणों में अपग्रेड करें; यदि उपलब्ध हो तो ढांचे के सुधार उपकरणों का पालन करें। Next.js टीम ने एक सुधार उपकरण और मार्गदर्शन भी प्रकाशित किया है। (nextjs.org)
- यदि कोई उजागर ऐप ऑनलाइन और बिना पैच के हो सकता था, तो गुप्त कुंजी घुमाएं: API कुंजी, डेटाबेस क्रेडेंशियल, सेवा खाता कुंजी, और ऐप द्वारा उपयोग किए जाने वाले किसी भी टोकन (Next.js स्पष्ट रूप से उन ऐप्स के लिए घुमाने की सिफारिश करता है जो लाइव और बिना पैच के थे)। (nextjs.org)
- यदि आप तुरंत पैच नहीं कर सकते हैं तो तत्काल शमन लागू करें:
- किसी भी RSC/सर्वर फ़ंक्शन एंडपॉइंट्स तक पहुंच को फ़ायरवॉल/WAF नियमों या इनग्रेस नियमों के माध्यम से ब्लॉक या प्रतिबंधित करें।
- जहां उपलब्ध हो, विक्रेता WAF नियमों या क्लाउड प्रदाता सुरक्षा को लागू करें; प्रमुख होस्ट (जैसे, Vercel) ने होस्ट किए गए प्रोजेक्ट्स को सुरक्षित करने के लिए सुरक्षा उपाय किए हैं। (vercel.com)
Detection and triage (hours → days)
- लॉग और एंडपॉइंट्स की जांच करें ताकि संदिग्ध, असामान्य RSC पेलोड और अप्रत्याशित चाइल्ड प्रक्रियाएं, फ़ाइल लेखन, या ऐप सर्वरों से उत्पन्न आउटबाउंड कनेक्शन मिल सकें।
- पोस्ट-शोषण संकेतकों की खोज करें: नए बनाए गए सिस्टम उपयोगकर्ता, अप्रत्याशित SSH कुंजी, क्रोनजॉब, या क्रिप्टोक्यूरेंसी खनन बाइनरी। Microsoft और Google Cloud ने सक्रिय शोषण का अवलोकन करने के बाद पहचान और प्रतिक्रिया मार्गदर्शन प्रकाशित किया। (microsoft.com)
- यदि आप समझौते के संकेत पाते हैं, तो इसे एक पूर्ण घटना के रूप में मानें: प्रभावित होस्ट को अलग करें, फोरेंसिक साक्ष्य को संरक्षित करें, क्रेडेंशियल्स को घुमाएं, ज्ञात-भले स्रोतों से पुनर्निर्माण करें, और हितधारकों को सूचित करें।
Longer‑term recommendations (teams and platform owners)
- हमले की सतह को कम करें: आवश्यक होने पर ही सार्वजनिक एंडपॉइंट्स से RSC सर्वर फ़ंक्शंस को उजागर करने से बचें; सख्त इनपुट सत्यापन और प्रमाणीकरण के साथ सर्वर रहित सैंडबॉक्स या समर्पित बैकएंड APIs को प्राथमिकता दें।
- निर्भरता स्वच्छता को लागू करें: एक सटीक SBOM बनाए रखें, ट्रांजिटिव पैकेजों को पिन और स्कैन करें, और CI के हिस्से के रूप में निर्भरता सुरक्षा स्कैनिंग चलाएं (जिसमें ढांचों और निर्माण आउटपुट में बंडल किए गए react-server-dom-* पैकेजों की जांच शामिल है)।
- पुनरुत्पादक निर्माण और अपरिवर्तनीय तैनाती कलाकृतियों का उपयोग करें ताकि आप आपातकालीन पैच के बाद जल्दी से पुनर्निर्माण और पुनः तैनात कर सकें।
- उन सर्वरों पर रनटाइम सुरक्षा (प्रक्रिया-स्तरीय कंटेनमेंट, eBPF-आधारित निगरानी) जोड़ने पर विचार करें जो मनमाने पेलोड डिकोडिंग को संभालते हैं।
Why this is a watershed event
- यह सुरक्षा कमी दिखाती है कि कैसे डेवलपर एर्गोनॉमिक्स के लिए डिज़ाइन की गई सर्वर-साइड सुविधाएँ (सर्वर घटक / सर्वर फ़ंक्शन) नए दूरस्थ-निष्पादन हमले की सतहों को उजागर कर सकती हैं यदि कोई डिकोडिंग/सीरियलाइजेशन बग मौजूद है। तेज़, वास्तविक-विश्व शोषण और पार-पारिस्थितिकी तंत्र प्रभाव (React, Next.js, बंडलर्स, होस्टिंग) इसे 2025–26 में वेब टीमों के लिए उच्च-तत्कालता आपूर्ति-श्रृंखला/सुरक्षा घटनाओं में से एक बनाते हैं। (react.dev)
Key references
- आधिकारिक React सुरक्षा बुलेटिन और पैच विवरण (React2Shell — CVE‑2025‑55182)। (react.dev)
Source:
Source
आगे पढ़ें
Chrome 143 में FedCM में परिवर्तन: संरचित ID दावे, कड़े क्लाइंट मेटाडेटा, और ब्रेकिंग API अपडेट
31 जनवरी 2026Chrome 143 (12 जनवरी, 2026 को प्रकाशित) FedCM पहचान प्रवाह में परिवर्तन करता है: ID दावा टोकन संरचित JSON हो सकते हैं, क्लाइंट_मेटाडेटा सत्यापन लागू किया गया है, और कई API फ़ील्ड स्थानांतरित/नामांकित किए गए हैं — Chrome 145 से पहले माइग्रेशन आवश्यक है।
Undici CVE-2026-22036: अनबाउंड डिकंप्रेशन चेन संसाधन समाप्ति की अनुमति देती है — पैच जारी किए गए
30 जनवरी 202614 जनवरी, 2026 को undici (Node.js HTTP क्लाइंट) के लिए एक सुरक्षा सलाह में एक अनबाउंड डिकंप्रेशन-चेन भेद्यता का वर्णन किया गया है जो उच्च CPU और मेमोरी उपयोग की ओर ले जा सकती है। फुल-स्टैक टीमों को प्रभावित undici संस्करणों को खोजने और अपग्रेड करने और हल्के रनटाइम सुरक्षा जोड़ने की आवश्यकता है।
React Router / Remix CSRF सुरक्षा दोष सर्वर क्रियाओं में (CVE-2026-22030)
29 जनवरी 2026React Router और @remix-run/server-runtime ने सर्वर-साइड क्रिया हैंडलरों और अस्थिर React सर्वर क्रियाओं को प्रभावित करने वाले मध्यम-गंभीर CSRF मुद्दे को पैच किया - जो पूर्ण-स्टैक टीमों को अब जांचना और पैच करना चाहिए।