Lỗi React nghiêm trọng gây áp lực lên hạ tầng web toàn cầu

Tóm tắt điều hành

Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, được xác định là CVE-2025-55182, đã được phát hiện trong React Server Components, một phần cốt lõi của một trong những thư viện JavaScript phổ biến nhất thế giới. Lỗ hổng này có xếp hạng mức độ nghiêm trọng CVSS tối đa 10.0, biểu thị rủi ro cực đoan, vì nó cho phép kẻ tấn công không được xác thực thực thi mã tùy ý trên các máy chủ bị ảnh hưởng. Phạm vi ảnh hưởng của lỗ hổng là rộng lớn, tác động đến các framework lớn như Next.js và, theo nghiên cứu từ công ty bảo mật Wiz, ước tính có mặt trong 39% môi trường đám mây. Điều này đã kích hoạt một nỗ lực vá lỗi khẩn cấp, rộng khắp trong ngành công nghiệp phần mềm để giảm thiểu mối đe dọa chuỗi cung ứng đáng kể.

Sự kiện chi tiết

Lỗ hổng nằm ở cách React giải mã và giải tuần tự hóa các tải trọng dữ liệu được gửi đến các điểm cuối React Server Function. Một kẻ tấn công có thể tạo ra một yêu cầu HTTP độc hại mà khi được máy chủ xử lý, sẽ dẫn đến thực thi mã từ xa. Điều này cho phép chiếm quyền kiểm soát hệ thống hoàn toàn mà không cần xác thực. Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật Lachlan Davidson và được báo cáo cho Meta vào một ngày thứ Bảy, với bản vá được phát triển và phát hành vào thứ Tư tuần sau—một phản ứng nhanh chóng cho thấy mức độ nghiêm trọng được nhận thức.

Do sự phụ thuộc vào thành phần React dễ bị tấn công, framework Next.js phổ biến cũng bị ảnh hưởng, với nhà bảo trì Vercel đã ban hành một khuyến cáo riêng (CVE-2025-66478) và phát hành một bản vá ngay lập tức. Lỗ hổng ảnh hưởng đến nhiều phiên bản của các gói React và một loạt các framework phụ thuộc, bao gồm React Router, Waku, và các trình đóng gói từ Vite và Parcel.

Tác động thị trường

Việc phát hiện CVE-2025-55182 đã phơi bày rủi ro hệ thống sâu sắc được nhúng trong chuỗi cung ứng phần mềm hiện đại. React hình thành nền tảng cho hàng triệu ứng dụng web, bao gồm cả những ứng dụng được sử dụng bởi các công ty đại chúng lớn như Netflix, Shopify và Walmart. Các tác động trực tiếp bao gồm:

Gián đoạn hoạt động: Các công ty phải chuyển hướng các nguồn lực đáng kể để kiểm tra môi trường của họ và áp dụng các bản vá ngay lập tức, điều này có thể dẫn đến thời gian ngừng hoạt động tốn kém hoặc suy giảm dịch vụ.
Rủi ro vi phạm tăng cao: Tỷ lệ phơi nhiễm 39% trong các môi trường đám mây cho thấy một bề mặt tấn công lớn. Việc khai thác thành công có thể dẫn đến các vi phạm dữ liệu thảm khốc, đánh cắp bí mật của công ty và dữ liệu khách hàng bị xâm phạm.
Chi phí tài chính: Chi phí khắc phục, kết hợp với thiệt hại tài chính và danh tiếng tiềm tàng từ một cuộc tấn công thành công, đại diện cho một rủi ro vật chất đối với các doanh nghiệp bị phơi nhiễm. Sự cố này củng cố tính chất rủi ro cao của sự phụ thuộc vào phần mềm mã nguồn mở.

Bình luận của chuyên gia

Các chuyên gia bảo mật đã thẳng thắn về sự khẩn cấp cần thiết. Ben Harris, CEO của watchTowr, tuyên bố rằng việc khai thác không phải là vấn đề "có hay không", mà là "khi nào":

Lý do có một phản ứng thận trọng như vậy đối với lỗ hổng này là vì việc khai thác là không thể tránh khỏi. Chúng ta nên mong đợi những kẻ tấn công sẽ bắt đầu khai thác lỗ hổng này thực sự sắp tới.

Tình cảm này được Stephen Fewer, một nhà nghiên cứu chính cao cấp tại Rapid7, lặp lại, người đã cảnh báo về thiệt hại tiềm tàng:

Tác động đến các tài nguyên được lưu trữ trên hệ thống đó có thể rất tàn khốc nếu có những thứ như khóa truy cập hoặc các bí mật khác hoặc thông tin nhạy cảm.

Nhấn mạnh quy mô, trưởng nhóm tình báo mối đe dọa của Wiz, Amitai Cohen, đã cung cấp số liệu chính: "Dữ liệu của chúng tôi cho thấy các thư viện này có thể được tìm thấy trong các phiên bản dễ bị tấn công trong khoảng 39% môi trường đám mây."

Bối cảnh rộng hơn

Lỗ hổng React nghiêm trọng này không phải là một sự kiện đơn lẻ mà là một phần của một mô hình đáng lo ngại về các lỗ hổng trong cơ sở hạ tầng kỹ thuật số cốt lõi. Gần đây, một lỗ hổng thực thi mã từ xa tương tự đã được tìm thấy trong Codex CLI của OpenAI, có thể cho phép kẻ tấn công biến một kho lưu trữ mã thành một cửa hậu vĩnh viễn. Đồng thời, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã đưa ra cảnh báo về các lỗ hổng nghiêm trọng trong Android, thúc giục người dùng thiết bị Samsung và Pixel cập nhật ngay lập tức hoặc ngừng sử dụng chúng.

Cùng nhau, những sự kiện này minh họa một thách thức bảo mật đa diện trên các thư viện mã nguồn mở, công cụ phát triển AI và hệ điều hành di động. Đối với các doanh nghiệp, nó làm nổi bật nhu cầu cấp thiết về quản lý lỗ hổng mạnh mẽ và hiểu biết rõ ràng về các phụ thuộc sâu sắc trong hệ sinh thái phần mềm và phần cứng của họ. Kỷ nguyên giả định về bảo mật của công nghệ nền tảng đã kết thúc.