React-এ CVE-2025-55182 এবং Next.js-এ CVE-2025-66478: ওয়েবের জন্য নতুন RCE ত্রুটিগুলির অর্থ কী?

সর্বশেষ আপডেট: 12/04/2025
লেখক: C SourceTrail
  • React-এ CVE-2025-55182 এবং Next.js-এ CVE-2025-66478, React Server Components Flight প্রোটোকলের মাধ্যমে অপ্রমাণিত রিমোট কোড এক্সিকিউশন সক্ষম করে।
  • সমস্যাটি তৈরি RSC পেলোডগুলির অনিরাপদ ডিসিরিয়ালাইজেশন থেকে এসেছে, যা জনপ্রিয় ফ্রেমওয়ার্কগুলিতে ডিফল্ট কনফিগারেশনকে প্রভাবিত করে।
  • গবেষকরা প্রায় ১০০% শোষণ নির্ভরযোগ্যতার কথা জানিয়েছেন এবং অনুমান করেছেন যে প্রায় ৩৯-৪০% ক্লাউড পরিবেশে দুর্বল উদাহরণ রয়েছে।
  • কঠোর React এবং Next.js রিলিজে তাৎক্ষণিক আপগ্রেড করাই একমাত্র নিশ্চিত প্রশমন; ডিফেন্ডারদের যেকোনো RSC-সক্ষম ফ্রেমওয়ার্কও অডিট করা উচিত।

React এবং Next.js-এ নিরাপত্তা সমস্যা

গত কয়েকদিন ধরে, জাভাস্ক্রিপ্ট ইকোসিস্টেম কয়েকটি সমস্যায় ভুগছে সর্বোচ্চ তীব্রতার নিরাপত্তা দুর্বলতা React এবং Next.js-এ, যা প্রভাবিত সার্ভারগুলিতে রিমোট কোড এক্সিকিউশনের দরজা খুলে দেয়। ত্রুটিগুলি, যেমন জন্য CVE-2025-55182 প্রতিক্রিয়ার জন্য এবং জন্য CVE-2025-66478 Next.js-এর জন্য, তথাকথিত ফ্লাইট প্রোটোকলে React Server Components কীভাবে বিশেষায়িত নেটওয়ার্ক ট্র্যাফিক পরিচালনা করে তার উপর আলোকপাত করুন।

কারণ এই সমস্যাগুলি প্রভাবিত করে ডিফল্ট ফ্রেমওয়ার্ক কনফিগারেশন এবং একটি তৈরি HTTP অনুরোধ ছাড়া আর কিছুই ট্রিগার করা যেতে পারে না, তারা দ্রুত অনেক নিরাপত্তা দলের প্যাচ তালিকার শীর্ষে উঠে এসেছে। বিক্রেতা, গবেষক এবং ক্লাউড প্রদানকারীরা এখন একই বার্তার সাথে একত্রিত: অবিলম্বে প্যাচ করা, এক্সপোজার মূল্যায়ন করা এবং বিস্তৃত স্ক্যানিং এবং শোষণ প্রচেষ্টার জন্য প্রস্তুত হওয়া।

CVE-2025-55182 এবং CVE-2025-66478 আসলে কী?

সমস্যার মূলে রয়েছে একটি ত্রুটি রিঅ্যাক্ট-সার্ভার প্যাকেজ, যে উপাদানটি রিঅ্যাক্ট সার্ভার কম্পোনেন্টস (RSC) এবং ফ্লাইট প্রোটোকলকে ক্ষমতা প্রদান করে। দুর্বল সংস্করণগুলিতে, সার্ভার বিশেষভাবে আকৃতির RSC পেলোড গ্রহণ করে এবং পর্যাপ্ত বৈধতা ছাড়াই তাদের ডিসিরিয়ালাইজ করে, আক্রমণকারী-নিয়ন্ত্রিত ডেটা সার্ভারে চলমান যুক্তিতে হস্তক্ষেপ করার অনুমতি দেয়।

এই আচরণটি যা কাঠামোগত ডেটা হওয়া উচিত তা একটিতে পরিণত করে বিশেষাধিকারপ্রাপ্ত জাভাস্ক্রিপ্ট কার্যকর করার বাহন ব্যাকএন্ডে। যখন একটি HTTP অনুরোধ একটি RSC বা সার্ভার ফাংশন এন্ডপয়েন্টকে একটি ক্ষতিকারক ফ্লাইট পেলোড দিয়ে লক্ষ্য করে, তখন অনিরাপদ ডিসিরিয়ালাইজেশন পাথটি অপ্রমাণিত রিমোট কোড এক্সিকিউশন (RCE) অর্জনের জন্য অপব্যবহার করা যেতে পারে। কোনও পূর্ববর্তী অ্যাক্সেস, শংসাপত্র বা ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন নেই।

সমস্যার প্রতিক্রিয়া দিকটি এইভাবে ট্র্যাক করা হয়েছে জন্য CVE-2025-55182, 10.0 এর CVSS স্কোর সহ স্কেলের শীর্ষে রেট করা হয়েছে। যেহেতু Next.js এই আদিমগুলির উপরে RSC এবং Flight প্রোটোকল প্রয়োগ করে, এটি একই মূল দুর্বলতা উত্তরাধিকারসূত্রে পায়; সেই ডাউনস্ট্রিম ইমপ্যাক্ট নির্ধারিত হয় জন্য CVE-2025-66478 এবং একই তীব্রতার রেটিং বহন করে।

নিরাপত্তা উপদেষ্টারা বাগটিকে বর্ণনা করে যে লজিক্যাল ডিসিরিয়ালাইজেশন দুর্বলতা বরং এটি একটি ক্লাসিক মেমোরি সুরক্ষা সমস্যা নয়। ব্যর্থতা হল পেলোডগুলি কীভাবে পার্স করা হয় এবং বিশ্বাস করা হয়, নিম্ন-স্তরের বাফার হ্যান্ডলিংয়ে নয়। তবুও, ফলাফলটি ঠিক ততটাই গুরুতর: একটি দূরবর্তী আক্রমণকারী সার্ভার-সাইড এক্সিকিউশন পরিচালনা করতে পারে।

React এবং Next.js-এ CVE-2025-55182-এর ডায়াগ্রাম

কোন React এবং Next.js সেটআপগুলি ঝুঁকিপূর্ণ?

দুর্বলতার প্রভাব React 19 এর সার্ভার-সাইড স্ট্যাক বেশ কয়েকটি সাধারণভাবে ব্যবহৃত সংস্করণে। রক্ষণাবেক্ষণকারীরা ১৯.০, ১৯.১.০, ১৯.১.১ এবং ১৯.২.০ এর মতো রিলিজগুলিকে ঝুঁকিপূর্ণ বলে অভিহিত করেছেন react-server প্যাকেজ এবং এর ফ্লাইট প্রোটোকল বাস্তবায়ন। প্যাচ করা শাখাগুলি এইভাবে বিতরণ করা হয় 19.0.1, 19.1.2 এবং 19.2.1, যা কঠোর ডিসিরিয়ালাইজেশন যুক্তি প্রবর্তন করে।

কাঠামোর দিকে, Next.js বাক্সের বাইরে প্রভাবিত হয়। একটি সাধারণ অ্যাপ্লিকেশন যা দিয়ে তৈরি করা হয়েছে create-next-appউৎপাদনের জন্য তৈরি এবং ডিফল্ট সেটিংস সহ স্থাপন করা হয়েছে, ডেভেলপার দ্বারা কোনও অতিরিক্ত কোড যোগ না করেই এটি ব্যবহারযোগ্য হতে পারে। Next.js-এর পিছনে থাকা কোম্পানি, Vercel, তাই CVE-2025-66478 এর অধীনে নিজস্ব পরামর্শ জারি করেছে এবং আপডেট করা ফ্রেমওয়ার্ক সংস্করণ প্রকাশ করেছে যা স্থির প্রতিক্রিয়া প্যাকেজগুলি ব্যবহার করে।

এর প্রভাব কেবল Next.js-এর মধ্যেই সীমাবদ্ধ নয়। যেকোনো বাস্তুতন্ত্রের উপাদান যা React Server Components-এ বান্ডেল বা প্লাগ করা এবং ফ্লাইট প্রোটোকল সম্ভবত উন্মুক্ত। এর মধ্যে রয়েছে, অন্যান্য সরঞ্জাম এবং কাঠামো যেমন:

  • পরবর্তী.js
  • @vitejs/প্লাগইন-আরএসসি (আরএসসি প্লাগইন দেখুন)
  • @পার্সেল/আরএসসি (পার্সেল আরএসসি প্লাগইন)
  • রিঅ্যাক্ট রাউটার RSC প্রিভিউ
  • রেডউডএসডিকে / আরডব্লিউএসডিকে
  • ওয়াকু

গবেষণা দলগুলি জোর দিয়ে বলেছে যে ডিফল্ট কনফিগারেশনগুলি সাধারণত ঝুঁকিতে থাকে। অন্য কথায়, এমনকি যদি কোনও ডেভেলপার ইচ্ছাকৃতভাবে কোনও পরীক্ষামূলক ফ্ল্যাগ বা অস্বাভাবিক সেটিংস সক্ষম না করে থাকে, তবুও যদি এটি React Server Components এর একটি প্রভাবিত সংস্করণ ব্যবহার করে তবে তাদের স্থাপনাটি কাজে লাগানো যেতে পারে।

শোষণ কতটা সহজ এবং কেন রক্ষকরা চিন্তিত

নিরাপত্তা সম্প্রদায়কে যে বিষয়টি ভয়াবহ করে তুলেছে তা হলো শোষণের ক্ষেত্রে কম বাধা। একাধিক গবেষণা দল রিপোর্ট করেছে যে এই ত্রুটিগুলি আক্রমণ করার জন্য শুধুমাত্র একটি বিশেষভাবে তৈরি HTTP অনুরোধ একটি পৌঁছানো RSC বা সার্ভার ফাংশন এন্ডপয়েন্টে পাঠানো প্রয়োজন। প্রমাণীকরণ, জটিল পূর্বশর্ত বা ব্যবহারকারীর মিথস্ক্রিয়ার কোনও প্রয়োজন নেই, যা স্বয়ংক্রিয় আক্রমণের জন্য পরিস্থিতিকে বিশেষভাবে আকর্ষণীয় করে তোলে।

নিয়ন্ত্রিত পরীক্ষায়, উইজ রিসার্চের মতো দলগুলি ধারণার কার্যকরী প্রমাণ তৈরি করেছে এবং পর্যবেক্ষণ করেছে প্রায় ১০০% নির্ভরযোগ্যতা দুর্বল সেটআপগুলিতে RCE ট্রিগার করার ক্ষেত্রে। যদিও এই সম্পূর্ণ পেলোডগুলি এখনও প্রকাশ করা হচ্ছে না, তবুও ঐক্যমত্য হল যে অন্তর্নিহিত আচরণটি যথেষ্ট সহজ যে অন্যরা পাবলিক প্যাচগুলি অধ্যয়ন করে কার্যকরী শোষণগুলি পুনর্গঠন করতে পারে।

React এবং Next.js-এর জনপ্রিয়তার পরিপ্রেক্ষিতে, বেশ কিছু বিশেষজ্ঞ বিশ্বাস করেন যে গণস্ক্যানিং এবং অস্ত্রায়ন কেবল সময়ের ব্যাপার।। অন্যান্য উচ্চ-প্রভাবশালী সার্ভার-সাইড ত্রুটিগুলির সাথে প্রাথমিক তুলনা করা হয়েছে যেখানে প্রযুক্তিগত বিবরণ এবং উদাহরণ কোড ভূগর্ভস্থ সম্প্রদায় বা পাবলিক রিপোজিটরিতে প্রচারিত হওয়ার পরে শোষণ বৃদ্ধি পেয়েছিল।

গবেষকরা আরও তুলে ধরছেন যে সম্ভাব্য লক্ষ্যমাত্রার বিস্তৃতি। সোশ্যাল মিডিয়া, ই-কমার্স, স্ট্রিমিং, SaaS এবং আরও অনেক বৃহৎ প্রতিষ্ঠানের সাইট এবং অ্যাপগুলিকে রিঅ্যাক্টের উপর ভিত্তি করে। Next.js-এর মতো ফ্রেমওয়ার্কগুলি অভ্যন্তরীণ এবং গ্রাহক-মুখী অ্যাপ্লিকেশন উভয়ের জন্যই ব্যাপকভাবে ব্যবহৃত হয়, যার অর্থ হল দুর্বল দৃষ্টান্তগুলি কর্পোরেট নেটওয়ার্কের গভীরে এবং পাবলিক-মুখী ফ্রন্টএন্ডেও দেখা দিতে পারে।

যে সময়ে অনেক পরামর্শ প্রকাশিত হয়েছিল, সেখানে ছিল বন্য অঞ্চলে শোষণের কোনও নিশ্চিত প্রতিবেদন নেই। তবে, বিশ্লেষকরা বলছেন যে এটা ধরে নেওয়া যুক্তিসঙ্গত যে হুমকিদাতারা ইতিমধ্যেই সংশোধনগুলিকে বিপরীতভাবে প্রকৌশলী করে তুলছে এবং কোন হোস্টগুলিতে পৌঁছানো যাবে এবং ভুলভাবে কনফিগার করা হবে তা ম্যাপিং করছে।

মেঘের পরিবেশে এক্সপোজার কতটা বিস্তৃত

ক্লাউড-স্কেল স্ক্যান থেকে প্রাপ্ত বেশ কিছু তথ্য পয়েন্ট সমস্যার মাত্রা তুলে ধরে। উইজের হুমকি অনুসন্ধানকারীরা জানিয়েছেন যে প্রায় ৩৯% মেঘ পরিবেশ তারা বিশ্লেষণ করেছেন যে React অথবা Next.js চলমান সংস্করণগুলিতে CVE-2025-55182 এবং/অথবা CVE-2025-66478 এর ঝুঁকিপূর্ণ উদাহরণ রয়েছে। অন্যান্য ব্রেকডাউনগুলি চিত্রটিকে আরও কাছাকাছি নিয়ে আসে উভয় প্রযুক্তি একসাথে গণনা করলে ৪০%.

বিশেষ করে Next.js-এর দিকে তাকালে, ফ্রেমওয়ার্কটি মোটামুটিভাবে দেখা যায় ৬৯% পরিবেশ তাদের ডেটাসেটে। এর মধ্যে, একটি উল্লেখযোগ্য সংখ্যাগরিষ্ঠ হোস্ট সর্বজনীনভাবে অ্যাক্সেসযোগ্য অ্যাপ্লিকেশন Next.js-এর উপর নির্মিত। অন্যভাবে বলতে গেলে, তাদের টেলিমেট্রি ইঙ্গিত দেয় যে প্রায় সমস্ত মেঘ পরিবেশের ৪৪% কমপক্ষে একটি ইন্টারনেট-এক্সপোজড Next.js ইনস্ট্যান্স আছে, তা বর্তমানে প্যাচ করা আছে কিনা তা নির্বিশেষে।

এই সমন্বয় উচ্চ স্থাপনার ঘনত্ব এবং জনসাধারণের এক্সপোজার আক্রমণকারীরা কোন দুর্বলতাগুলিতে প্রচেষ্টা বিনিয়োগ করতে হবে তা বেছে নেওয়ার সময় ঠিক এই বিষয়টিই খোঁজে। একই ধরণের সেটআপ সহ অনেক লক্ষ্যবস্তুর বিরুদ্ধে একটি একক এক্সপ্লাইট চেইন পুনরায় ব্যবহার করা যেতে পারে এবং স্বয়ংক্রিয় সরঞ্জামগুলি আনপ্যাচড সার্ভারগুলি খুঁজে পেতে পুরো আইপি রেঞ্জগুলি স্যুইপ করতে পারে।

কিছু সরবরাহকারী ব্লাস্ট রেডিয়াস সংকুচিত করার জন্য কাজ করছে। উদাহরণস্বরূপ, গুগল ইঙ্গিত দিয়েছে যে ডিফল্ট পাবলিক ওএস ছবি গুগল ক্লাউডের কম্পিউট ইঞ্জিনে ব্যবহৃত অ্যাপ্লিকেশনগুলি বাক্সের বাইরে ঝুঁকিপূর্ণ নয়, যদিও গ্রাহকদের এখনও সেই চিত্রগুলির উপরে স্থাপন করা যেকোনো অ্যাপ্লিকেশন অডিট এবং প্যাচ করতে হবে।

বিক্রেতারা অফার করছেন ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAFs) আলোচনায় অংশ নিচ্ছে। উদাহরণস্বরূপ, ক্লাউডফ্লেয়ার পরামর্শ দিয়েছে যে, তাদের WAF কিছু React অ্যাপ্লিকেশনকে শোষণের প্রচেষ্টা থেকে রক্ষা করতে সাহায্য করতে পারে যখন ট্র্যাফিক সম্পূর্ণরূপে পরিষেবার মধ্য দিয়ে চলে যায়, যদিও এই ধরনের সুরক্ষাগুলিকে অন্তর্নিহিত সফ্টওয়্যার আপডেট করার পরিবর্তে একটি অতিরিক্ত স্তর হিসাবে দেখা হয়।

সময়রেখা, আবিষ্কার এবং বিক্রেতার প্রতিক্রিয়া

CVE-2025-55182 এবং CVE-2025-66478 এর আশেপাশের ঘটনাগুলির শৃঙ্খল দ্রুত উন্মোচিত হয়েছিল। নিরাপত্তা গবেষক লাচলান ডেভিডসন নভেম্বরের শেষে মেটার বাগ বাউন্টি প্রোগ্রামের মাধ্যমে রিঅ্যাক্ট যেভাবে পেলোডগুলিকে রিঅ্যাক্ট ডিকোড করে তাতে সমস্যাটি শনাক্ত করা হয়েছে।

রিঅ্যাক্ট, যা মূলত মেটাতে তৈরি হয়েছিল এবং এখন অনেক আধুনিক ওয়েব স্ট্যাকের ভিত্তিপ্রস্তর, রিপোর্টটি নিশ্চিত হওয়ার পর দ্রুত এগিয়ে যায়। প্রায় চার দিনের মধ্যে, রিঅ্যাক্ট টিম, মেটার সাথে সমন্বয় করে, ক্ষতিগ্রস্ত 19.x লাইনগুলিতে জরুরি আপডেট জারি করেছে, এবং তাৎক্ষণিক আপগ্রেডের জন্য একটি নিরাপত্তা পরামর্শও জারি করেছে।

একই দিনে, ভার্সেল নিজস্ব পরামর্শ ঘোষণা করেছে CVE-2025-66478 এর অধীনে Next.js এর জন্য। ফ্রেমওয়ার্ক রক্ষণাবেক্ষণকারীরা প্যাচ করা রিলিজ, ব্যবহারকারীদের জন্য নির্দেশিকা এবং Next.js-এ RSC বাস্তবায়ন কীভাবে React-এর সার্ভার লাইব্রেরি থেকে দুর্বল আচরণ উত্তরাধিকারসূত্রে পায় তার বিশদ প্রকাশ করেছে।

অনেকেই ইচ্ছাকৃতভাবে লিখেন ধাপে ধাপে এক্সপ্লয়েটের বিবরণ বাদ দিন আপাতত। পরিবর্তে, তারা ঝুঁকি ব্যাখ্যা করার উপর মনোযোগ দেয়, প্রভাবিত উপাদান এবং সংস্করণগুলি তালিকাভুক্ত করে এবং ব্যবহারকারীদের আপডেট করা বিল্ডগুলিতে নির্দেশ দেয়। লক্ষ্য হল ডিফেন্ডারদের কম পরিশীলিত আক্রমণকারীদের ধীর করে সংশোধনগুলি স্থাপন করার জন্য সময় দেওয়া।

ওয়াচটাওয়ার এবং র‍্যাপিড৭-এর মতো কোম্পানির গবেষক সহ শিল্প কণ্ঠস্বর এই বার্তাটি প্রতিধ্বনিত করেছে যে এটি একটি প্রোডাকশনে React অথবা Next.js চালানোর ক্ষেত্রে উচ্চ-অগ্রাধিকারের সমস্যা, এবং প্রকাশ্যে শোষণের আগে জানালাটি ছোট হতে পারে।

দলগুলোর এখনই কী করা উচিত

React Server Components, Next.js অথবা RSC-সক্ষম প্লাগইন এবং ফ্রেমওয়ার্ক ব্যবহারকারী প্রতিষ্ঠানগুলির জন্য, সবচেয়ে স্পষ্ট নির্দেশিকা হল যে কঠোর সংস্করণে আপগ্রেড করাই একমাত্র সম্পূর্ণ প্রশমন. এমন কোনও কনফিগারেশন টগল নেই যা দুর্বল রিলিজে থাকাকালীন বাগটিকে নিরাপদে নিরপেক্ষ করে।

প্রতিক্রিয়ার দিক থেকে, এর অর্থ হল প্রভাবিত 19.x বিল্ড যেমন 19.0, 19.1.0, 19.1.1 এবং 19.2.0 থেকে সরানো 19.0.1, 19.1.2 বা 19.2.1, কোন প্রকল্পটি কোন শাখায় পিন করা হয়েছে তার উপর নির্ভর করে। এই সংস্করণগুলিতে ফ্লাইট প্রোটোকল পেলোডের চারপাশে কঠোর চেক অন্তর্ভুক্ত করা হয়েছে এবং অনিরাপদ ডিসিরিয়ালাইজেশন আচরণ বন্ধ করা হয়েছে।

Next.js ব্যবহারকারীদের জন্য, সুপারিশ হল প্যাচ করা ফ্রেমওয়ার্ক রিলিজের আপডেট Vercel-এর উপদেষ্টায় ঘোষণা করা হয়েছে, যাতে নিশ্চিত করা যায় যে নির্ভরতা ট্রি স্থির React সার্ভার প্যাকেজগুলিকে টেনে আনে। এমনকি যেসব প্রকল্প তাদের নিজস্ব কোডে স্পষ্টভাবে RSC ব্যবহার করে না, তারাও যদি ফ্রেমওয়ার্কের আওতায় সার্ভার উপাদানগুলিকে সক্ষম করে, তাহলেও তারা উন্মুক্ত হতে পারে।

যেসব দল অন্যান্য RSC-সক্ষম স্ট্যাকের উপর নির্ভর করে — যার মধ্যে রয়েছে Redwood, Waku, React Router RSC প্রিভিউ, এবং Vite এবং Parcel-এর জন্য RSC প্লাগইন — তাদের উচিত অফিসিয়াল চ্যানেলগুলি পর্যবেক্ষণ করুন সেই প্রকল্পগুলি থেকে। তাদের অনেকেই রিঅ্যাক্ট সার্ভার রানটাইমের নিজস্ব কপি বান্ডিল করে, তাই তাদের রক্ষণাবেক্ষণকারীরা নির্দিষ্ট আপডেট নির্দেশাবলী এবং সংস্করণ নম্বরগুলি সন্ধান করার জন্য প্রকাশ করছে।

বৃহৎ ক্লাউড ফুটপ্রিন্টযুক্ত প্রতিষ্ঠানের জন্য, সমস্ত দুর্বল অংশগুলি কোথায় থাকে তা জানা কঠিন হতে পারে। কিছু নিরাপত্তা বিক্রেতা, যেমন Wiz, অফার করছে পূর্ব-নির্মিত প্রশ্ন এবং পরামর্শ তাদের প্ল্যাটফর্মের মধ্যে গ্রাহকদের পরিবেশ জুড়ে প্রভাবিত React এবং Next.js দৃষ্টান্ত সনাক্ত করতে সহায়তা করার জন্য। অন্যরা অভ্যন্তরীণ নিরাপত্তা দলগুলিকে মানিয়ে নেওয়ার জন্য সনাক্তকরণ যুক্তি এবং স্ক্যানিং নিয়মগুলি উপলব্ধ করছে।

বৃহত্তর ওয়েব ইকোসিস্টেমের জন্য এর অর্থ কী?

CVE-2025-55182 এবং CVE-2025-66478 এর উত্থান কীভাবে সার্ভার-সাইড জাভাস্ক্রিপ্ট ফ্রেমওয়ার্ক জটিল সিরিয়ালাইজেশন ফর্ম্যাট পরিচালনা করে। RSC এবং Flight প্রোটোকল আধুনিক অ্যাপ্লিকেশন তৈরির জন্য শক্তিশালী হাতিয়ার, কিন্তু উন্নত বৈশিষ্ট্যগুলিকে সক্ষম করে এমন একই নমনীয়তা সূক্ষ্ম আক্রমণাত্মক পৃষ্ঠতলেরও প্রবর্তন করতে পারে যদি পার্সিং লজিক সাবধানে লক করা না হয়।

ডেভেলপারদের জন্য, এই পর্বটি একটি স্মরণ করিয়ে দেয় যে ডিফল্ট ফ্রেমওয়ার্ক আচরণের উপর নির্ভর করা নিরাপত্তার নিশ্চয়তা দেয় না এবং এর বিরুদ্ধে সুরক্ষার গুরুত্ব এনপিএমের বিরুদ্ধে সরবরাহ শৃঙ্খলের আক্রমণ। এই ক্ষেত্রে, সাধারণ, বয়লারপ্লেট সেটআপগুলিই একটি অ্যাপ্লিকেশনকে অপ্রমাণিত RCE-তে প্রকাশ করার জন্য যথেষ্ট ছিল। নিরাপত্তা পরামর্শের সাথে তাল মিলিয়ে চলা, নির্ভরতা পিন করা এবং দ্রুত আপডেট প্রয়োগ করা React- বা Next.js-ভিত্তিক পরিষেবা সরবরাহকারী দলগুলির জন্য অ-আলোচনাযোগ্য কাজ হয়ে উঠছে।

প্রতিরক্ষামূলক দৃষ্টিকোণ থেকে, সংস্থাগুলি এই ইভেন্টটি তাদের পর্যালোচনা করার জন্য ব্যবহার করছে স্তরযুক্ত সুরক্ষা কৌশল। প্যাচিং একেবারেই প্রাথমিক, কিন্তু অনেকেই প্রশাসনিক বা অভ্যন্তরীণ এন্ডপয়েন্টগুলিতে অ্যাক্সেস নিয়ন্ত্রণ কঠোর করার, সন্দেহজনক ফ্লাইট প্রোটোকল ট্র্যাফিক সনাক্ত করার জন্য WAF নিয়ম স্থাপন করার এবং সার্ভার-সাইড ত্রুটিগুলির পর্যবেক্ষণযোগ্যতা উন্নত করার দিকেও নজর দিচ্ছেন যা শোষণের প্রচেষ্টা নির্দেশ করতে পারে।

এই পরিস্থিতি আরও তুলে ধরে যে ইন্টারনেটের কতটা অংশ এখন তুলনামূলকভাবে ছোট একটি গ্রুপের উপর নির্ভরশীল শেয়ার্ড ওপেন সোর্স উপাদান। একটি বহুল ব্যবহৃত লাইব্রেরিতে একটি মাত্র বাগ মাত্র কয়েক দিনের মধ্যে ক্লাউড প্রোভাইডার, SaaS প্ল্যাটফর্ম এবং এন্টারপ্রাইজ পরিবেশে ছড়িয়ে পড়তে পারে। একসাথে এতগুলি প্রতিষ্ঠান যখন প্রভাবিত হয় তখন সমন্বিত প্রকাশ, দ্রুত বিক্রেতাদের প্রতিক্রিয়া এবং স্পষ্ট যোগাযোগ অত্যন্ত গুরুত্বপূর্ণ হয়ে ওঠে।

আপাতত, ফোকাস হল দুর্বল React এবং Next.js ইনস্টলেশনগুলিকে স্থির রিলিজে আনার আগে শোষণ নিত্যনৈমিত্তিক হয়ে ওঠেগবেষকরা নির্ভরযোগ্যতা প্রায় নিখুঁতভাবে কাজে লাগাচ্ছেন, ডিফল্ট কনফিগারেশনগুলি দুর্বল এবং ক্লাউড পরিবেশের একটি উল্লেখযোগ্য অংশ প্রভাবিত সংস্করণগুলি ব্যবহার করছেন বলে রিপোর্ট করার সাথে সাথে, এই CVEগুলি দ্রুত অস্পষ্ট প্রোটোকল বিবরণ থেকে আধুনিক জাভাস্ক্রিপ্ট অ্যাপ্লিকেশনগুলি রক্ষণাবেক্ষণকারী দলগুলির জন্য একটি জরুরি অপারেশনাল উদ্বেগের বিষয় হয়ে উঠেছে।

অডিটোরিয়া ডি সিগারিডাড এনপিএম
সম্পর্কিত নিবন্ধ:
এনপিএম সিকিউরিটি অডিটিং এবং সাপ্লাই-চেইন আক্রমণের জন্য গভীর নির্দেশিকা

সম্পর্কিত পোস্ট: