ចំណុចខ្សោយថ្មីរបស់ React RSC អាចឱ្យមានការប៉ះពាល់នឹង DoS និងកូដប្រភព

ក្រុម React បានចេញផ្សាយការជួសជុលសម្រាប់កំហុសថ្មីពីរប្រភេទនៅក្នុង React Server Components (RSC) ដែលប្រសិនបើត្រូវបានកេងប្រវ័ញ្ចដោយជោគជ័យ វាអាចបណ្តាលឱ្យមានការបដិសេធសេវាកម្ម (DoS) ឬការលាតត្រដាងកូដប្រភព។

ក្រុមនេះបាននិយាយថា បញ្ហាទាំងនេះត្រូវបានរកឃើញដោយសហគមន៍សុវត្ថិភាព ខណៈពេលកំពុងព្យាយាមកេងប្រវ័ញ្ចបំណះដែលបានចេញផ្សាយសម្រាប់ CVE-2025-55182 (ពិន្ទុ CVSS: 10.0) ដែលជាកំហុសធ្ងន់ធ្ងរនៅក្នុង RSC ដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយនៅក្នុងពិភពពិត។

ចំណុចខ្សោយទាំងបីត្រូវបានរាយខាងក្រោម -

-CVE-2025-55184 (ពិន្ទុ CVSS៖ 7.5) - ចំណុចខ្សោយនៃការបដិសេធសេវាកម្មមុនការផ្ទៀងផ្ទាត់ដែលកើតចេញពីការលុបចោលទិន្នន័យដែលមិនមានសុវត្ថិភាពពីសំណើ HTTP ទៅកាន់ចំណុចបញ្ចប់នៃមុខងារម៉ាស៊ីនមេ ដែលបង្កឱ្យមានរង្វិលជុំគ្មានកំណត់ដែលព្យួរដំណើរការម៉ាស៊ីនមេ និងអាចការពារសំណើ HTTP នាពេលអនាគតពីការបម្រើ

-CVE-2025-67779 (ពិន្ទុ CVSS៖ 7.5) - ការជួសជុលមិនពេញលេញសម្រាប់ -CVE-2025-55184 ដែលមានផលប៉ះពាល់ដូចគ្នា

-CVE-2025-55183 (ពិន្ទុ CVSS៖ 5.3) - ចំណុចខ្សោយនៃការលេចធ្លាយព័ត៌មានដែលអាចបណ្តាលឱ្យមានសំណើ HTTP ដែលបង្កើតឡើងជាពិសេសដែលបានផ្ញើទៅកាន់មុខងារម៉ាស៊ីនមេដែលងាយរងគ្រោះដើម្បីប្រគល់កូដប្រភពនៃមុខងារម៉ាស៊ីនមេណាមួយ

ទោះជាយ៉ាងណាក៏ដោយ ការកេងប្រវ័ញ្ចដោយជោគជ័យនៃ CVE-2025-55183 តម្រូវឱ្យមានអត្ថិភាពនៃមុខងារម៉ាស៊ីនមេដែលបង្ហាញយ៉ាងច្បាស់ ឬដោយប្រយោលនូវអាគុយម៉ង់ដែលត្រូវបានបម្លែងទៅជាទម្រង់ខ្សែអក្សរ។

ចំណុចខ្វះខាតដែលប៉ះពាល់ដល់កំណែដូចខាងក្រោមនៃ react-server-dom-parcel, react-server-dom-turbopack និង react-server-dom-webpack -

-CVE-2025-55184 និង CVE-2025-55183 - 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 និង 19.2.1

-CVE-2025-67779 - 19.0.2, 19.1.3 និង 19.2.2

អ្នកស្រាវជ្រាវសន្តិសុខ RyotaK និង Shinsaku Nomura ត្រូវបានគេទទួលស្គាល់ថាបានរាយការណ៍ពីចំណុចខ្វះខាត DoS ពីរទៅកាន់កម្មវិធី Meta Bug Bounty ខណៈដែល Andrew MacPherson ត្រូវបានគេទទួលស្គាល់ថាបានរាយការណ៍ពីចំណុចខ្វះខាតនៃការលេចធ្លាយព័ត៌មាន។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពទៅកំណែ 19.0.3, 19.1.4 និង 19.2.3 ឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន ជាពិសេសនៅក្នុងពន្លឺនៃការរុករកយ៉ាងសកម្មនៃ CVE-2025-55182។

ក្រុម React បាននិយាយថា "នៅពេលដែលភាពងាយរងគ្រោះធ្ងន់ធ្ងរត្រូវបានបង្ហាញ អ្នកស្រាវជ្រាវពិនិត្យមើលផ្លូវកូដដែលនៅជាប់គ្នាដោយស្វែងរកបច្ចេកទេសកេងប្រវ័ញ្ចបំរែបំរួលដើម្បីសាកល្បងថាតើការកាត់បន្ថយដំបូងអាចត្រូវបានរំលងឬអត់"។ "គំរូនេះបង្ហាញនៅទូទាំងឧស្សាហកម្ម មិនត្រឹមតែនៅក្នុង JavaScript នោះទេ។ ការបង្ហាញបន្ថែមអាចធ្វើឱ្យខកចិត្ត ប៉ុន្តែជាទូទៅវាជាសញ្ញានៃវដ្តឆ្លើយតបដែលមានសុខភាពល្អ"។