Forwarded from Заметки Слонсера (Slonser)
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
npx create-next-app
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
🔥16🫡7❤1
Заметки Слонсера
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components React UNAUTH RCE CVSS 10 По патчу успел понять в чем проблема (PoC пока пишу) Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии То есть…
Пишут, что и PoC подъехал уже
Exploit Chain
- $ACTION_REF_0 triggers bound action metadata parsing
- id: 'vm#runInThisContext' loads vm module, accesses runInThisContext export
- bound array becomes arguments to runInThisContext.bind(null, CODE)
- When action is called: runInThisContext(CODE) executes the code
- RCE achieved!
CVE-2025-55182 - Real React Server Components RCE POC
https://github.com/ejpir/CVE-2025-55182-poc
CVE-2025-55182 - Technical Deep Dive
https://github.com/ejpir/CVE-2025-55182-poc/blob/main/TECHNICAL-ANALYSIS.md
Надо было в пятницу публиковать пост React'у 🌝
Exploit Chain
- $ACTION_REF_0 triggers bound action metadata parsing
- id: 'vm#runInThisContext' loads vm module, accesses runInThisContext export
- bound array becomes arguments to runInThisContext.bind(null, CODE)
- When action is called: runInThisContext(CODE) executes the code
- RCE achieved!
CVE-2025-55182 - Real React Server Components RCE POC
https://github.com/ejpir/CVE-2025-55182-poc
CVE-2025-55182 - Technical Deep Dive
https://github.com/ejpir/CVE-2025-55182-poc/blob/main/TECHNICAL-ANALYSIS.md
Надо было в пятницу публиковать пост React'у 🌝
🔥18🤡3
Технологический Болт Генона
Пишут, что и PoC подъехал уже Exploit Chain - $ACTION_REF_0 triggers bound action metadata parsing - id: 'vm#runInThisContext' loads vm module, accesses runInThisContext export - bound array becomes arguments to runInThisContext.bind(null, CODE) - When action…
Так как больше трёх человек написали в личку, то традиционно отвечаю публично 🌝
Главный посыл был что это всё (ну или почти всё) нейронкой нагенерено
Да, это полностью навайбкоженая репа. Человеческого в ней мало.
И конкретно в этом случае я не вижу проблемы, так как это не продовый код.
"Сварщик" я не настоящий, но запускал и смотрел код на сколько умею.
Набрасывайте в комменты если есть ещё чего по теме.
Из публичной критики могу дать ссылку на чат "Кавычки", пока лучше ничего не видел
https://www.group-telegram.com/WebPwnChat/231827
UPD
Ещё одно описание PoC'а
> итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.
https://www.group-telegram.com/ad_poheque/119
Главный посыл был что это всё (ну или почти всё) нейронкой нагенерено
Да, это полностью навайбкоженая репа. Человеческого в ней мало.
И конкретно в этом случае я не вижу проблемы, так как это не продовый код.
"Сварщик" я не настоящий, но запускал и смотрел код на сколько умею.
Набрасывайте в комменты если есть ещё чего по теме.
Из публичной критики могу дать ссылку на чат "Кавычки", пока лучше ничего не видел
https://www.group-telegram.com/WebPwnChat/231827
UPD
Ещё одно описание PoC'а
> итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.
https://www.group-telegram.com/ad_poheque/119
🥴4❤2👍2
Четверг, а значит время проектов от подписчиков! 🌝
Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://www.group-telegram.com/tech_b0lt_Genona.com/4983
Сегодня у нас книга от широко известного в узких кругах Саши Вира. Я знал, что Саша пишет книгу ещё год назад и даже поучаствовал в обсуждении и формировании структуры в самом начале. И вот наконец-то появились хорошие новости. Книга сама ещё не вышла в продажу, ожидается во второй половине января.
Слово автору @aftertime
---
Linux благодаря своей открытости порождает десятки способов достижения одной и той же цели. Для каждой логической подсистемы здесь можно найти несколько реализаций — со своими особенностями, приемами настройки, сильными и слабыми сторонами. Есть из чего выбирать — и в этом кроется как мощь системы, так и ловушка. Без понимания внутренней логики и последствий решений легко попасть в ситуацию, в которой система кажется надежной, но по факту остается беззащитной.
Эта книга написана, чтобы сделать выбор осознанным. Не навязать единственно верный путь, а показать, где скрыты риски, на какие параметры стоит обращать внимание, как рассуждать при выборе инструментов.
Это официальное введение, ничего полнее я не напишу, про книгу могу только добавить, что её я написал, когда не нашёл ничего похожего
Проверять доступность можно по ссылке
https://bhv.ru/product/prakticheskaya-bezopasnost-linux/
Канал с ворованными мемами - @theaftertimes
---
Сегодня у нас книга от широко известного в узких кругах Саши Вира. Я знал, что Саша пишет книгу ещё год назад и даже поучаствовал в обсуждении и формировании структуры в самом начале. И вот наконец-то появились хорошие новости. Книга сама ещё не вышла в продажу, ожидается во второй половине января.
Слово автору @aftertime
---
Linux благодаря своей открытости порождает десятки способов достижения одной и той же цели. Для каждой логической подсистемы здесь можно найти несколько реализаций — со своими особенностями, приемами настройки, сильными и слабыми сторонами. Есть из чего выбирать — и в этом кроется как мощь системы, так и ловушка. Без понимания внутренней логики и последствий решений легко попасть в ситуацию, в которой система кажется надежной, но по факту остается беззащитной.
Эта книга написана, чтобы сделать выбор осознанным. Не навязать единственно верный путь, а показать, где скрыты риски, на какие параметры стоит обращать внимание, как рассуждать при выборе инструментов.
Это официальное введение, ничего полнее я не напишу, про книгу могу только добавить, что её я написал, когда не нашёл ничего похожего
Проверять доступность можно по ссылке
https://bhv.ru/product/prakticheskaya-bezopasnost-linux/
Канал с ворованными мемами - @theaftertimes
---
👏14❤8👍4👎1🤡1🫡1
Технологический Болт Генона
Так как больше трёх человек написали в личку, то традиционно отвечаю публично 🌝 Главный посыл был что это всё (ну или почти всё) нейронкой нагенерено Да, это полностью навайбкоженая репа. Человеческого в ней мало. И конкретно в этом случае я не вижу проблемы…
ИИ (https://www.group-telegram.com/tech_b0lt_Genona.com/5919) не справился, поэтому подключились кожаные мешки и у них получилось лучше 🌝
CVE-2025-55182
Первый
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
Второй
Explanation and full RCE PoC for CVE-2025-55182
https://github.com/msanft/CVE-2025-55182
CVE-2025-55182
Первый
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
Второй
Explanation and full RCE PoC for CVE-2025-55182
https://github.com/msanft/CVE-2025-55182
😁4👍2
Forwarded from Музыкальный Болт Генона
После ампутации рук у меня никак не доходили руки до гитары
Исполняю мечту (прикрепил к посту вторым видео)
https://www.youtube.com/watch?v=g2Vh5CGKdFw
00:00 Маленький Костя играет на гитаре
00:45 Мне поможет 3D-принтер
01:33 История 3D-печати в протезировании конечностей
03:32 Я напечатал свои первые руки
04:45 Как 3D-печать упрощает жизнь безруких
06:18 Безрукие гитаристы и мое решение
Исполняю мечту (прикрепил к посту вторым видео)
https://www.youtube.com/watch?v=g2Vh5CGKdFw
00:00 Маленький Костя играет на гитаре
00:45 Мне поможет 3D-принтер
01:33 История 3D-печати в протезировании конечностей
03:32 Я напечатал свои первые руки
04:45 Как 3D-печать упрощает жизнь безруких
06:18 Безрукие гитаристы и мое решение
🔥15🫡10❤3🤯3🌚2😁1🥴1🤝1
Беда
We are aware of the issue impacting the availability of Cloudflare’s network. It was not an attack; root cause was disabling some logging to help mitigate this week’s React CVE.
Will share full details in a blog post today. Sites should be back online now, but I understand the frustration this causes and the work being
Dane Knecht, CTO Cloudflare
https://x.com/dok2001/status/1996872325678223609
Прошлое заявление по прошлому падению CF
https://www.group-telegram.com/tech_b0lt_Genona.com/5882
We are aware of the issue impacting the availability of Cloudflare’s network. It was not an attack; root cause was disabling some logging to help mitigate this week’s React CVE.
Will share full details in a blog post today. Sites should be back online now, but I understand the frustration this causes and the work being
Dane Knecht, CTO Cloudflare
https://x.com/dok2001/status/1996872325678223609
Прошлое заявление по прошлому падению CF
https://www.group-telegram.com/tech_b0lt_Genona.com/5882
😁18🫡3🤡2🥴1
гномпоражение.рф
Subject: CVS: cvs.openbsd.org: ports
From: Antoine Jacoutot <ajacoutot () cvs ! openbsd ! org>
Date: 2025-11-13 8:19:16
Log message:
Bump GNOME to version 49.
Not everything is in yet.
Note that this will probably be the last GNOME version that will be able to run on OpenBSD; it's already heavily patched. GNOME 50 is dropping support for X11 and systemd dependency is becoming a hard one (along with GUdev and other functions we don't support).
See:
https://blogs.gnome.org/adrianvovk/2025/06/10/gnome-systemd-dependencies/
https://marc.info/?l=openbsd-ports-cvs&m=176302122719362
Пользуясь случаем - @whygnomesucks
Subject: CVS: cvs.openbsd.org: ports
From: Antoine Jacoutot <ajacoutot () cvs ! openbsd ! org>
Date: 2025-11-13 8:19:16
Log message:
Bump GNOME to version 49.
Not everything is in yet.
Note that this will probably be the last GNOME version that will be able to run on OpenBSD; it's already heavily patched. GNOME 50 is dropping support for X11 and systemd dependency is becoming a hard one (along with GUdev and other functions we don't support).
See:
https://blogs.gnome.org/adrianvovk/2025/06/10/gnome-systemd-dependencies/
https://marc.info/?l=openbsd-ports-cvs&m=176302122719362
Пользуясь случаем - @whygnomesucks
🔥10😢2🤔1🤡1🖕1
У некоторых пользователей «Госуслуг» при авторизации пропала возможность пропустить скачивание мессенджера MAX. При входе в аккаунт через мобильную версию браузера сервис требует установить приложение, и избежать этого больше нельзя. На это жалуются интернет-пользователи из разных городов России в соцсетях.
https://www.e1.ru/text/world/2025/12/05/76158102/
Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.
Варианты второго фактора защиты
- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг
https://digital.gov.ru/official-position/vhod-v-prilozhenie-gosuslugi-mozhno-podtverdit-raznymi-sposobami
Спасибо
https://www.e1.ru/text/world/2025/12/05/76158102/
Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.
Варианты второго фактора защиты
- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг
https://digital.gov.ru/official-position/vhod-v-prilozhenie-gosuslugi-mozhno-podtverdit-raznymi-sposobami
Спасибо
🤬43🤡12🥴8🖕5🫡4❤1👍1
Технологический Болт Генона
У некоторых пользователей «Госуслуг» при авторизации пропала возможность пропустить скачивание мессенджера MAX. При входе в аккаунт через мобильную версию браузера сервис требует установить приложение, и избежать этого больше нельзя. На это жалуются интернет…
Вторым фактором для Госуслуг может быть TOTP
По коду TOTP
- Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится
- В личном кабинете откройте: Профиль → Безопасность → Вход в систему
- Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить
- Откройте на телефоне приложение для работы с одноразовым кодом
- В приложении отсканируйте QR‑код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться
- Введите на Госуслугах одноразовый код из приложения
https://www.gosuslugi.ru/help/faq/login/101923
Тогда никакой MAX требовать не будет
По коду TOTP
- Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится
- В личном кабинете откройте: Профиль → Безопасность → Вход в систему
- Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить
- Откройте на телефоне приложение для работы с одноразовым кодом
- В приложении отсканируйте QR‑код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться
- Введите на Госуслугах одноразовый код из приложения
https://www.gosuslugi.ru/help/faq/login/101923
Тогда никакой MAX требовать не будет
🔥39💯11🤝7🤡5❤2👎1
Технологический Болт Генона
Беда We are aware of the issue impacting the availability of Cloudflare’s network. It was not an attack; root cause was disabling some logging to help mitigate this week’s React CVE. Will share full details in a blog post today. Sites should be back online…
Cloudflare выложили разбор вчерашнего инцидента
Cloudflare outage on December 5, 2025
https://blog.cloudflare.com/5-december-2025-outage/
Попробую кратко описать чо там у них случилось, если где-то неправильно понял, то поправьте в комментариях
Как и писал CTO (https://www.group-telegram.com/tech_b0lt_Genona.com/5926), они катили изменения для того, что бы закрыть свежую и нашумевшую уязвимость React'а (https://www.group-telegram.com/tech_b0lt_Genona.com/5918, https://www.group-telegram.com/tech_b0lt_Genona.com/5923)
Для этого они провели два действия:
- Они обнаружили что балалайка, котрая тестирует их WAF, не поддерживает нужный размер буфера тела HTTP-запроса, поэтому они её отключили (нужен был 1 MB, а умела только 128 KB)
- Выкатили практически моментально на все сервера изменения. Если я понял правильно, то они так настроили/сделали систему конфигурации после прошлого отвала - https://www.group-telegram.com/tech_b0lt_Genona.com/5885
Как и в прошлый раз, сейчас тоже упоминаются две реализации их прокси - FL1 (старая, я не помню на чём, но там есть Lua) и FL2 (новая на Rust)
FL1 стало плохо после отключения балалайки, которая тестировала WAF и его правила, и начала "пятисотить". Происходило это из-за того, что поломался кусок, который отвечал за правила (Lua часть)
И это объясняет почему у части работало всё нормально, а у части нет. Проблем не было у тех чей трафик шёл через FL2
> Customers that have their web assets served by our older FL1 proxy AND had the Cloudflare Managed Ruleset deployed were impacted
> Customers that did not have the configuration above applied were not impacted. Customer traffic served by our China network was also not impacted.
Когда CF увидели, что всё посыпалось, то вообще должна была отработать система "отката". Но что-то пошло не так 🌝
Правила, когда отрабатывают, то выполняются определённые действия (в том числе и к трафику)
> Typical actions are “block”, “log”, or “skip”. Another type of action is “execute”, which is used to trigger evaluation of another ruleset.
Но как выяснилось они никогда не откатывали аварийно правила с типом execute и при откате сломавшего всё нового правила возникла ошибка в логике
> This code expects that, if the ruleset has action=”execute”, the “rule_result.execute” object will exist. However, because the rule had been skipped, the rule_result.execute object did not exist, and Lua returned an error due to attempting to look up a value in a nil value.
В FL2 проблемы не существовало такой, потому что, цитирую
> This is a straightforward error in the code, which had existed undetected for many years. This type of code error is prevented by languages with strong type systems.
Как утверждается в посте, что они извлекли уроки от прошлого масштабного падения и начали вносить изменения, но не успели за две недели доделать.
Короче, растпобеда случилась 🗿
Cloudflare outage on December 5, 2025
https://blog.cloudflare.com/5-december-2025-outage/
Попробую кратко описать чо там у них случилось, если где-то неправильно понял, то поправьте в комментариях
Как и писал CTO (https://www.group-telegram.com/tech_b0lt_Genona.com/5926), они катили изменения для того, что бы закрыть свежую и нашумевшую уязвимость React'а (https://www.group-telegram.com/tech_b0lt_Genona.com/5918, https://www.group-telegram.com/tech_b0lt_Genona.com/5923)
Для этого они провели два действия:
- Они обнаружили что балалайка, котрая тестирует их WAF, не поддерживает нужный размер буфера тела HTTP-запроса, поэтому они её отключили (нужен был 1 MB, а умела только 128 KB)
- Выкатили практически моментально на все сервера изменения. Если я понял правильно, то они так настроили/сделали систему конфигурации после прошлого отвала - https://www.group-telegram.com/tech_b0lt_Genona.com/5885
Как и в прошлый раз, сейчас тоже упоминаются две реализации их прокси - FL1 (старая, я не помню на чём, но там есть Lua) и FL2 (новая на Rust)
FL1 стало плохо после отключения балалайки, которая тестировала WAF и его правила, и начала "пятисотить". Происходило это из-за того, что поломался кусок, который отвечал за правила (Lua часть)
[lua] Failed to run module rulesets callback late_routing: /usr/local/nginx-fl/lua/modules/init.lua:314: attempt to index field 'execute' (a nil value)
И это объясняет почему у части работало всё нормально, а у части нет. Проблем не было у тех чей трафик шёл через FL2
> Customers that have their web assets served by our older FL1 proxy AND had the Cloudflare Managed Ruleset deployed were impacted
> Customers that did not have the configuration above applied were not impacted. Customer traffic served by our China network was also not impacted.
Когда CF увидели, что всё посыпалось, то вообще должна была отработать система "отката". Но что-то пошло не так 🌝
Правила, когда отрабатывают, то выполняются определённые действия (в том числе и к трафику)
> Typical actions are “block”, “log”, or “skip”. Another type of action is “execute”, which is used to trigger evaluation of another ruleset.
Но как выяснилось они никогда не откатывали аварийно правила с типом execute и при откате сломавшего всё нового правила возникла ошибка в логике
if rule_result.action == "execute" then
rule_result.execute.results = ruleset_results[tonumber(rule_result.execute.results_index)]
end
> This code expects that, if the ruleset has action=”execute”, the “rule_result.execute” object will exist. However, because the rule had been skipped, the rule_result.execute object did not exist, and Lua returned an error due to attempting to look up a value in a nil value.
В FL2 проблемы не существовало такой, потому что, цитирую
> This is a straightforward error in the code, which had existed undetected for many years. This type of code error is prevented by languages with strong type systems.
Как утверждается в посте, что они извлекли уроки от прошлого масштабного падения и начали вносить изменения, но не успели за две недели доделать.
Короче, растпобеда случилась 🗿
🔥21❤4💅4👍3🗿2🤣1
Forwarded from 127.0.0.1
Вы тоже, скорее всего, получали этой весной в Telegram странные сообщения от друзей по типу “смотри, это ты?” вместе с APK-файлом.
Я решил разобрать один из таких “подарков”. Не то чтобы я гуру реверса, но стало интересно посмотреть, что у него внутри и как он работает. Малварь оказался довольно примитивным, почти без обфускации, сделан по учебнику.
APK маскировался под приложение “Видео (317)”, а внутри сидел полноценный Android-троян. Приложение запрашивает все критически опасные разрешения: читать и отправлять SMS, перехватывать уведомления, получать доступ к данным SIM-карт, управлять звонками, запускаться после перезагрузки и собирать информацию об устройстве(скрины). В пакете 'com.example.researchapp' -- почти полный набор компонентов для ботнета:
сервисы для отправки SMS без ведома пользователя, перехватчики входящих сообщений, обработчики команд, сборщики информации и автозапуск.
Троян регулярно связывается с сервером, получает команды и, при необходимости, может выполнять действия на устройстве от имени пользователя.
Самое интересное "то адрес панели управления был спрятан под AES-шифрованием, но расшифровывался без особых проблем. В итоге реальный C2 оказался здесь: http://62[.]60[.]226[.]104:5000 .
Порт снаружи не отвечает, скорее, он открыт локально и запросы просто блокируется firewall-ом. Если коротко, то С2 живой.
Также в коде попалась забавная строка 'https://www[.]pornhub[.]com/'
В целом это действительно рабочая малварь, но собранная без какого-то большого опыта. Логика прозрачная, архитектура простая, связь с сервером прямолинейная, защита минимальная. Тем не менее разобрать её было любопытно, а заодно полезно увидеть, как подобные вещи устроены изнутри.
Подписывайся на 127.0.0.1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥5✍3❤1🤡1😈1👻1