Lỗ hổng trong React Server Components: Nguy cơ bị tấn công DoS từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.796 bài viết
Lỗ hổng trong React Server Components: Nguy cơ bị tấn công DoS từ xa
WhiteHat Team
Một lỗ hổng vừa được công bố trong hệ sinh thái React đang làm dấy lên lo ngại lớn trong cộng đồng phát triển web. Lỗ hổng này cho phép kẻ tấn công không cần xác thực vẫn có thể khiến hệ thống ngừng hoạt động thông qua các yêu cầu HTTP được thiết kế đặc biệt. Trong bối cảnh nhiều ứng dụng hiện đại phụ thuộc vào kiến trúc xử lý phía máy chủ, nguy cơ gián đoạn dịch vụ đang trở thành vấn đề cấp thiết.
1775883103228.png

Lỗ hổng được định danh là CVE-2026-23869, ảnh hưởng trực tiếp đến các ứng dụng sử dụng React Server Components (một cơ chế cho phép xử lý và kết xuất nội dung trên máy chủ nhằm tối ưu hiệu năng). Theo các chuyên gia, đây là lỗi thuộc nhóm tiêu thụ tài nguyên không kiểm soát, đồng thời liên quan đến việc xử lý dữ liệu serialized không an toàn.


Nguyên nhân của lỗ hổng xuất phát từ cách hệ thống xử lý dữ liệu đầu vào trong các React Server Functions. Khi nhận request từ phía người dùng, máy chủ sẽ tiến hành giải mã và xử lý dữ liệu mà không có đủ cơ chế kiểm soát, tạo điều kiện để các payload độc hại làm tiêu tốn tài nguyên hệ thống.


Điểm đáng chú ý là lỗ hổng này có thể bị khai thác mà không cần bất kỳ quyền truy cập nào. Kẻ tấn công chỉ cần gửi một request được thiết kế đặc biệt đến endpoint công khai là có thể kích hoạt quá trình xử lý nặng trên máy chủ. Trong một số trường hợp, chỉ một request cũng đủ khiến CPU tăng đột biến và duy trì trạng thái quá tải trong thời gian dài trước khi hệ thống tự phục hồi.


Nếu quá trình này được lặp lại liên tục bằng các công cụ tự động, tài nguyên hệ thống sẽ nhanh chóng bị cạn kiệt. Khi đó, server không còn khả năng xử lý các yêu cầu hợp lệ từ người dùng, dẫn đến tình trạng từ chối dịch vụ. Đây là hình thức tấn công phổ biến nhằm làm gián đoạn hoạt động của website hoặc ứng dụng mà không cần xâm nhập sâu vào hệ thống.


Lỗ hổng ảnh hưởng đến một số gói thư viện quan trọng trong hệ sinh thái React, đặc biệt là các package phục vụ cho việc render phía máy chủ. Các phiên bản từ 19.0.0 đến 19.2.4 được xác định là nằm trong phạm vi bị ảnh hưởng. Tuy nhiên, không phải tất cả ứng dụng React đều gặp rủi ro. Những hệ thống chỉ hoạt động phía client hoặc không sử dụng React Server Components sẽ không bị tác động.


Mặc dù không trực tiếp dẫn đến rò rỉ dữ liệu, hậu quả của lỗ hổng lại tập trung vào khả năng làm gián đoạn dịch vụ. Đối với doanh nghiệp, điều này có thể gây ảnh hưởng lớn đến hoạt động kinh doanh, đặc biệt với các nền tảng thương mại điện tử hoặc dịch vụ trực tuyến yêu cầu tính sẵn sàng cao. Việc hệ thống bị ngừng hoạt động dù chỉ trong thời gian ngắn cũng có thể dẫn đến mất doanh thu và giảm uy tín.


Trước nguy cơ này, nhóm phát triển React đã nhanh chóng phát hành các bản vá để khắc phục sự cố. Người dùng được khuyến nghị cập nhật lên các phiên bản mới nhất nhằm loại bỏ cơ chế xử lý gây tiêu tốn tài nguyên bất thường. Bên cạnh đó, các chuyên gia cũng nhấn mạnh việc triển khai thêm các lớp bảo vệ như kiểm soát tốc độ request, giám sát hiệu năng hệ thống và kiểm tra dữ liệu đầu vào để giảm thiểu khả năng bị khai thác.​
Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong Marimo bị khai thác chỉ sau vài giờ công bố
  • Lỗ hổng trên GitHub Copilot cho phép âm thầm trích xuất mã nguồn và API Key
  • Smart Slider 3 Pro phát tán mã độc qua kênh cập nhật chính thức, đe dọa hàng loạt website
  • Cảnh báo phishing: Lợi dụng thông báo Meta để chiếm quyền tài khoản
  • Lỗ hổng nghiêm trọng trong Everest Forms đe dọa hơn 100.000 website WordPress
  • Lỗ hổng tồn tại suốt 13 năm trong ActiveMQ cho phép thực thi lệnh từ xa
    • Thẻ
    cve-2026-23869 react react server components
    Bên trên