Các đội an ninh mạng đang nỗ lực bảo vệ hệ thống khỏi lỗ hổng React2Shell nghiêm trọng trong React Server Components (RSC). Giờ đây, họ phải đối mặt với hai lỗ hổng bảo mật khác, dù ít nguy hiểm hơn.
Nhóm phát triển React cho biết hai lỗ hổng mới này có thể dẫn đến tấn công từ chối dịch vụ (DoS) hoặc làm lộ mã nguồn nếu bị khai thác. Các nhà nghiên cứu bảo mật đã phát hiện ra những lỗi này trong quá trình kiểm tra các bản vá mà React và Next.js phát hành tuần trước để khắc phục lỗi thực thi mã từ xa (RCE), được theo dõi là CVE-2025-55182.
Nhóm React cho biết việc các CVE quan trọng kéo theo các lỗ hổng tiếp theo là điều thường thấy. Khi một lỗ hổng nghiêm trọng được công bố, các nhà nghiên cứu sẽ xem xét kỹ lưỡng các phần mã liên quan để tìm kiếm các kỹ thuật khai thác khác, nhằm kiểm tra xem biện pháp giảm thiểu ban đầu có thể bị vượt qua hay không.
Nhóm React cũng trấn an rằng bản sửa lỗi cho React2Shell được phát hành tuần trước vẫn có hiệu quả.
Tấn công DoS và lộ mã nguồn
Hai lỗ hổng bảo mật mới được phát hiện bao gồm một lỗ hổng DoS mức độ nghiêm trọng cao (CVSS 7.5), được theo dõi là CVE-2025-55184 và CVE-2025-67779. Lỗi còn lại có mức độ nghiêm trọng trung bình (5.3), được theo dõi là CVE-2025-55183.
Nhóm React đã phát hành các bản vá cho các lỗ hổng này, ảnh hưởng đến cùng 10 gói và phiên bản RSC như lỗi React2Shell nghiêm trọng. Họ khuyến cáo các tổ chức nên áp dụng các bản vá ngay lập tức.
Đối với lỗ hổng DoS, các nhà nghiên cứu bảo mật phát hiện ra rằng kẻ tấn công có thể tạo ra một yêu cầu HTTP độc hại và gửi nó đến bất kỳ điểm cuối Server Functions nào. Khi được React giải mã, nó có thể tạo ra một “vòng lặp vô hạn làm treo tiến trình máy chủ và tiêu tốn CPU”. Ngay cả khi ứng dụng không triển khai bất kỳ điểm cuối React Server Function nào, nó vẫn có thể bị ảnh hưởng nếu ứng dụng hỗ trợ React Server Components.
Hậu quả là kẻ tấn công có thể từ chối người dùng truy cập vào sản phẩm và có thể ảnh hưởng đến hiệu suất của máy chủ. Các bản vá cho lỗi này được thiết kế để ngăn chặn vòng lặp vô hạn.
Tương tự, với lỗi bảo mật còn lại, tin tặc có thể gửi một yêu cầu HTTP độc hại đến một Server Function dễ bị tấn công, điều này có thể trả về mã nguồn của bất kỳ Server Function nào.
Việc khai thác đòi hỏi sự tồn tại của một Server Function, cái mà hiển thị một đối số được chuyển đổi thành chuỗi một cách rõ ràng hoặc ngầm định, cho phép rò rỉ mã nguồn.
Chỉ những bí mật trong mã nguồn mới có thể bị lộ. Các bí mật được mã hóa cứng trong mã nguồn có thể bị lộ, nhưng các bí mật thời gian chạy như process.env.SECRET thì không bị ảnh hưởng. Phạm vi của mã bị lộ bị giới hạn trong mã bên trong Server Function, cái mà có thể bao gồm các hàm khác tùy thuộc vào mức độ inlining mà bundler của bạn cung cấp.
Josh Story và Sebastian Markbåge, kỹ sư phần mềm của Vercel, nhà sáng tạo của Next.js, đã viết trong bài đăng trên blog của họ rằng lỗ hổng này có thể tiết lộ logic kinh doanh. Các bí mật cũng có thể bị lộ nếu chúng được xác định trực tiếp trong mã của bạn (thay vì được truy cập thông qua các biến môi trường tại thời điểm chạy) và được tham chiếu trong một Server Function. Tùy thuộc vào cấu hình trình đóng gói của bạn, các giá trị này có thể được đưa vào đầu ra hàm đã biên dịch.
Nhóm React khuyến cáo người dùng nên luôn xác minh các gói production.
React2Shell bị tấn công
Trong bối cảnh đó, một loạt các nhóm đe dọa do nhà nước bảo trợ và tội phạm tài chính từ khắp nơi trên thế giới đang cố gắng khai thác lỗ hổng React2Shell RCE, sử dụng một loạt các mối đe dọa ngày càng mở rộng, từ backdoor và botnet đến các công cụ khai thác tiền điện tử, đánh cắp thông tin và thăm dò trinh sát.
Việc sử dụng rộng rãi RSC và các framework dựa trên nó – Wiz đã lưu ý rằng 39% môi trường đám mây chứa React hoặc Next.js – kết hợp với khả năng khai thác dễ dàng khiến React2Shell trở thành mục tiêu hấp dẫn cho những kẻ xấu.
Noelle Murata, kỹ sư bảo mật cấp cao của công ty an ninh mạng Xcape, cho biết việc triển khai rộng rãi các gói React 19.x RSC dễ bị tấn công là đáng báo động, cùng với việc vũ khí hóa nhanh chóng, các khai thác công khai có sẵn và các mô-đun Metasploit tiện lợi. Điều này làm giảm rào cản kỹ năng cho kẻ tấn công, tạo điều kiện cho việc sao chép và lan truyền nhanh chóng. Trì hoãn việc vá lỗi không phải là quản lý rủi ro; đó là một canh bạc.
Giải thích thuật ngữ:
- React Server Components (RSC): Một tính năng của React cho phép render các component trên server, cải thiện hiệu suất và SEO.
- CVE (Common Vulnerabilities and Exposures): Một hệ thống tiêu chuẩn để xác định và theo dõi các lỗ hổng bảo mật đã được công khai.
- RCE (Remote Code Execution): Một loại lỗ hổng bảo mật cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống từ xa.
- DoS (Denial of Service): Một loại tấn công mạng nhằm làm cho một dịch vụ hoặc tài nguyên không khả dụng đối với người dùng hợp pháp.
- HTTP (Hypertext Transfer Protocol): Một giao thức được sử dụng để truyền dữ liệu trên World Wide Web.
- Metasploit: Một framework kiểm tra thâm nhập (penetration testing) phổ biến được sử dụng để phát triển và thực thi các exploit chống lại một hệ thống từ xa.
- Backdoor: Một phương pháp bí mật để vượt qua xác thực hoặc mã hóa thông thường trong một hệ thống máy tính, một sản phẩm, một hệ thống nhúng (như một thiết bị gia dụng) hoặc một thuật toán.
- Botnet: Một mạng lưới các máy tính bị nhiễm phần mềm độc hại, cho phép kẻ tấn công điều khiển chúng từ xa mà chủ sở hữu không hề hay biết.
- Framework: Một cấu trúc cơ bản hỗ trợ việc xây dựng một cái gì đó. Một framework có thể được định nghĩa là một nền tảng cơ bản để phát triển các ứng dụng phần mềm.
- Exploit: Một đoạn mã, một đoạn dữ liệu hoặc một chuỗi các lệnh khai thác một lỗi hoặc lỗ hổng bảo mật để gây ra hành vi không mong muốn hoặc không lường trước được xảy ra trên phần mềm, phần cứng hoặc hệ thống điện tử.
- Bundler: Một công cụ kết hợp nhiều tệp JavaScript thành một hoặc một vài tệp để tối ưu hóa hiệu suất tải trang web.
