Сообщают о критической уязвимости в React Server Components — CVSS 10.0, удаленное выполнение кода без аутентификации. Достаточно отправить специально сформированный HTTP-запрос. По данным Wiz, 39% облачных окружений уязвимы, Palo Alto Networks насчитала более 968 тысяч серверов под угрозой.

Проблема в небезопасной десериализации payloads в React Flight protocol. Причем уязвимы даже приложения, которые не используют Server Functions напрямую — достаточно поддержки RSC. Затронуты Next.js с App Router, плагины для Vite и Parcel, RedwoodJS, Waku. Патчи уже есть, Cloudflare развернул защиту через WAF для всех клиентов включая бесплатные тарифы.

А то всё, npm, зависимости, всё такое. Не прошло и двух месяцев, как Meta отпустила React в комьюнити…