habr (@habr@zhub.link)
Security Week 2550: критическая уязвимость в React Server Components
3 декабря разработчики JavaScript-библиотеки для создания веб-приложений React сообщили об обнаружении критической уязвимости в компоненте React Server Components. Уязвимость с наивысшим, десятибалльным рейтингом опасности по шкале CVSS v3 получила идентификатор CVE-2025-55182 . Еще один идентификатор CVE-2025-66478 является дублирующим — он относится к интеграции React Server Components во фреймворке Next.js . Уязвимые веб-приложения в худшем случае позволяют злоумышленнику без какой-либо аутентификации получить контроль над сервером, отправив специально подготовленный запрос. Отсюда название уязвимости, точнее два варианта — React4Shell и React2Shell. Быстрое развитие ситуации вокруг уязвимости можно оценить как «идеальный шторм», максимально сложную ситуацию для администраторов уязвимых систем, происходящую все же достаточно редко. Уже в день публикации бюллетеня React началась эксплуатация уязвимости, предположительно, организованными группировками из Китая. На следующий день, 4 декабря, примеры кода для эксплуатации уязвимости были доступны публично. Потенциально уязвимы сотни тысяч сайтов и веб-приложений, использующих либо React, либо Next.js, хотя реально подвержены атаке не все из них.
https://habr.com/ru/companies/kaspersky/articles/974462/
#иб #react2shell #react #cve202555182 #reactjs #nextjs
Show Original Post
Walker (@Walker@infosec.exchange)
React2Shell being abused to load crypto miners. A WAF is a good temporary fix if the developers cant update the packages quickly.
Show Original Post
habr (@habr@zhub.link)
React vs Vue: Что выбрать в 2026?
Привет, Хабр! Меня зовут Карлен, я Lead Fullstack разработчик в ITFB Group . В этой статье хочу поделиться своим мнением о том, как выбрать библиотеку или фреймворк для вашего следующего проекта. Этот выбор напоминает мне подбор гардероба для важного мероприятия: ошибешься — и проект ждут дополнительные проблемы, угадаешь — и ты на вершине успеха! Чтобы не попасть в просак с выбором, давайте детально разберем ключевые различия между React и Vue и определим, на что стоит обратить внимание.
https://habr.com/ru/companies/itfb/articles/974554/
#itfb #vue #react #frontend #javascript #выбор_стека #производительность #сравнение #webразработка
Show Original Post
codeminer42 (@codeminer42@mastodon.social)
Hello Devs, the latest Dev Weekly #90 is out! Bun joins Anthropic, React Server Components vulnerability exposed, bundle-busting tips, and more on npm threats!
Show Original Post
reddit_tech_vn_bot (@reddit_tech_vn_bot@mastodon.maobui.com)
Lập trình viên full-stack nhận làm việc từ xa hoặc freelance. Chuyên về React, Node.js, Python/Django, xây dựng ứng dụng có thể mở rộng. Xem portfolio để biết thêm chi tiết. #TìmKỹSưLàmThử #FreelanceDev #LậpTrìnhViên #JobBoardVi #React #NodeJS #Django
https://www.reddit.com/r/SaaS/comments/1ph9rln/fullstack_developer_available_for_remote_or/
Show Original Post
Oam_Gui (@Oam_Gui@piaille.fr)
🗓️ Vendredi - 11H : Allo Terra 🌍 / Réact ⏯️
Au programme :
👉 Analyses ou Réacts autour du vivant et de l'écologie
#alloterra #react #vulgarisation #discussion
Show Original Post
Lu (@Lu@ieji.de)
new #vulnerability in #react server components. update your #nextjs #vercel
https://vercel.com/kb/bulletin/react2shell
Show Original Post
post (@post@lemmy.world)
Do's and Don'ts of useEffectEvent
https://lemmy.world/post/39865879
Show Original Post
hmiron (@hmiron@fosstodon.org)
I feel like the innovation in the last 10+ years was fueled by the switch from imperative code to declarative code.
- jQuery -> React
- manual commands -> Kubernetes
- manual commands -> Nix
Do you have other examples like this?
#coding #webdev #kubernetes #react
Show Original Post
matdevdug (@matdevdug@c.im)
So I have a stupid question. I have a lot of security people saying the React Vulnerability is overblown and people are freaking out for no reason. But then I look at the PoC and it seems pretty straightforward and bad? Am I missing something in how React is typically set up?
Like does this PoC have a reliance on some configuration that I’m not seeing that people would never turn on? https://react2shell.com/
Show Original Post
evanwolf (@evanwolf@mastodon.social)
RE: https://mstdn.social/@hkrn/115675785723034710
5 or six years ago I stumbled into the TinyML community, pushing AI onto edge IoT devices. Decentralization where you can, as close to the problem, to the moment of greatest impact. The same logic is coming to browser-based user interactions as #GenerativeUI. Let #react invoke #MCP services to tailor bespoke UI components in response to user behavior, in the moment of greatest impact. Pushes AI calls from the web page's server to the browser client.
Show Original Post
offseq (@offseq@infosec.exchange)
⚠️ CRITICAL React2Shell RCE (CVSS 10.0, CVE-2025-55182) is being actively exploited! Affects React Server Components & frameworks (Next.js, Vite, etc). Patch to React 19.0.1+ ASAP. Monitor for AWS credential theft & miner activity. https://radar.offseq.com/threat/critical-react2shell-flaw-added-to-cisa-kev-after--ea2329c0 #OffSeq #React #Infosec
Show Original Post