В React обнаружили серьезную уязвимость CVE-2025-55182, получившую 10 баллов из 10 возможных по шкале CVSS. Она позволяет удаленно выполнить код на сервере без аутентификации. Проблема получила имя React2Shell и вызвала настоящую панику в индустрии, ведь под угрозой находятся миллионы ресурсов. React — опенсорсная библиотека компании Meta (деятельность компании признана экстремистской и запрещена в России), предназначенная для создания пользовательских интерфейсов. Ее используют такие гиганты индустрии, как Airbnb и Netflix, а основной npm-пакет насчитывает около 55,8 млн загрузок в неделю. Next.js — популярный фреймворк на базе React — отстает от этих показателей совсем ненамного и может похвастаться 16,7 млн еженедельных скачиваний. Обнаруженная уязвимость связана с обработкой данных, которые React получает через эндпоинты React Server Function. Злоумышленник может отправить специально сформированный HTTP-запрос на любой эндпоинт Server Function, и при десериализации React выполнит вредоносный JavaScript-код на сервере. При этом для атаки не нужна авторизация или привилегии. Изначально эту проблему обнаружил новозеландский ИБ-специалист Лаклан Дэвидсон (Lachlan Davidson), который 29 ноября уведомил о баге разработчиков Meta. В настоящее время исследователь запустил специальный сайт, посвященный React2Shell, где будут публиковаться технические детали. Как объясняют специалисты компании Endor Labs, React2Shell — это проблема логически небезопасной десериализация. Так, сервер не может корректно валидировать структуру входящих RSC-пейлоадов. Когда приходят искаженные данные от атакующего, валидация отказывает, что ведет к выполнению привилегированного JavaScript-кода в контексте сервера. Эксплуатировать React2Shell возможно с дефолтными настройками фреймворков, что делает стандартные развертывания уязвимыми без каких-либо особых условий. Как подчеркивают исследователи, для атаки не требуется никаких специальных настроек и прав — только сетевой доступ. CVE-2025-55182 затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 следующих npm-пакетов: react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Разработчики React уже выпустили исправления в составе версий 19.0.1, 19.1.2 и 19.2.1. Кроме того, под удар попал и Next.js — популярный фреймворк для веб-разработки на базе React. Компания Vercel, стоящая за созданием Next.js, попыталась присвоить своей уязвимости отдельный идентификатор CVE-2025-66478, но NIST отклонил его как дубликат. В данном случае пострадали canary-релизы начиная с версии 14.3.0-canary.77, а также все релизы веток 15.x и 16.x ниже пропатченных версий. Исправления были выпущены для версий 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 и 15.0.5. Хуже того, специалисты предупреждают, что та же уязвимость, вероятно, присутствует и в других библиотеках с имплементациями React Server. В их число входят: Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK и Waku.
Даже если ваше приложение не реализует эндпоинты React Server Function, оно все равно может быть уязвимо, если поддерживает React Server Components (RSC)», — предупреждают разработчики React в бюллетене безопасности.
По данным ИБ-компании Wiz, около 39% всех облачных сред содержат инстансы, уязвимые перед CVE-2025-55182 или CVE-2025-66478. Эксперт Palo Alto Networks Unit 42, Джастин Мур (Justin Moore) называет проблему React2Shell универсальным «мастер-ключом», который не ломает систему, а злоупотребляет ее доверием к входящим данным. По его словам, уже обнаружено более 968 000 серверов, использующих такие фреймворки, как React и Next.js. Учитывая масштаб проблемы, специалисты уверены, что массовая эксплуатация уязвимости, это не вопрос «если», а вопрос «когда». В настоящее время сообщений об эксплуатации React2Shell в реальных атаках не поступало. Однако менее чем за сутки после раскрытия информации о проблеме в сети появился как минимум один proof-of-concept эксплоит, и уязвимость была добавлена в различные в сканеры. Более того, Лаклан Дэвидсон предупредил о фейковых PoC, которые уже замечены в сети. Они используют функции типа vm#runInThisContext, child_process#exec и fs#writeFile, но исследователь объясняет, что настоящий эксплоит этого не требует. Такие PoC вообще не работают с Next.js, так как этих функций там нет. Реакция индустрии на информацию критическом баге не заставила себя ждать. Представители Cloudflare сообщают, что уже развернули защиту в своем облачном WAF и все клиенты автоматически защищены, пока трафик их React-приложений проксируется через сервис. Аналогичные действия предприняли специалисты AWS, Akamai, Fastly и Google Cloud. F5 заявила, что изучает потенциальное влияние бага на свою продукцию, но пока затронутые продукты не выявлены. До установки патчей рекомендуется развернуть WAF-правила, мониторить HTTP-трафик на Server Function endpoints на предмет подозрительных запросов и, если это возможно, временно ограничить сетевой доступ к затронутым приложениям. Организациям стоит провести аудит своих сред, чтобы определить, используют ли они уязвимые версии. Известный ИБ-исследователь Кевин Бомонт (Kevin Beaumont) попытался снизить градус всеобщей паники, отметив, что уязвимость ограничена свежей версией 19 и затрагивает только приложения, использующие относительно новую функциональность React Server. По оценке экспертов BI.ZONE, от 10 000 до 25 000 российских веб-ресурсов могут быть уязвимы перед React2Shell.
По нашим оценкам, новая критическая уязвимость ставит под удар от 10 000 до 25 000 российских веб-ресурсов, включая ресурсы малого бизнеса и сервисы подрядчиков. Пока нет надежного PoC, выявить потенциально уязвимые ресурсы можно с помощью механизма определения стека веб‑приложений в решениях класса EASM. Настоятельно рекомендуем обновить уязвимые компоненты как можно быстрее», — предупредили в компании.

Источник: https://xakep.ru/2025/12/05/react2shell/

В Роскомнадзоре (РКН) подтвердили, что американский сервис для обмена фото и видео Snapchat заблокирован в РФ еще с октября 2025 года. По словам представителей регулятора, сервис используется для вербовки преступников для совершения террористических действий и мошенничества.
По данным правоохранительных органов, Snapchat используется для организации и проведения террористических действий на территории страны, вербовки их исполнителей, совершения мошеннических и иных преступлений против наших граждан, — гласит сообщение пресс-службы Роскомнадзора. — В соответствии с правилами централизованного управления сетью связи общего пользования Роскомнадзор принял меры по блокировке сервиса 10 октября 2025 года».
Отметим, что ранее сегодня, 4 декабря 2025 года, Роскомнадзор ввел ограничительные меры в отношении сервиса видеозвонков FaceTime. В ведомстве также сообщали, что по данным правоохранительных органов FaceTime применяется для организации терактов, вербовки исполнителей и мошенничества. Snapchat и FaceTime стали очередными сервисами в длинной череде блокировок последних месяцев. Так, в августе текущего года РКН ограничил голосовые звонки в Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ). После этого, в октябре 2025 года регулятор объявил о частичном ограничении работы Telegram и WhatsApp, а на прошлой неделе подтвердил планы по постепенной полной блокировке WhatsApp из-за «невыполнения требований российского законодательства». Ранее на этой неделе, 3 декабря 2025 года, блокировка затронула и игровую платформу Roblox. В этом случае причиной были названы материалы с пропагандой экстремизма, терроризма, призывами к насилию и ЛГБТ-пропагандой (движение признано экстремистским и запрещено в РФ).

Источник: https://xakep.ru/2025/12/04/snapchat-blocked/

Представители Роскомнадзора сообщили СМИ, что работа сервиса видеозвонков FaceTime ограничена в России. В ведомстве говорят, что причиной для блокировки стало использование FaceTime для организации терактов, вербовки исполнителей и мошенничества.
По данным правоохранительных органов, сервис FaceTime используется для организации и проведения террористических действий на территории страны, вербовки их исполнителей, совершения мошеннических и иных преступлений против наших граждан. В связи с этим Роскомнадзор вводит ограничительные меры в отношении FaceTime», — заявили представители регулятора.
Напомним, что в августе 2025 года Роскомнадзор уже ограничил работу звонков в мессенджерах Telegram и WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ) в соответствии с материалами правоохранительных органов для противодействия преступникам. Следует отметить, что в это же время пользователи начали жаловаться на сбои в работе FaceTime в РФ. При этом представители МВД заявляли, что после ограничения звонков в Telegram и WhatsApp основным способом связи для мошенников стал сервис Google Meet, а также они тестируют альтернативные приложения для обхода блокировок, включая FaceTime и мессенджер Max. Позже, в октябре 2025 года, в РКН сообщали, что ведомство принимает меры по частичному ограничению работы мессенджеров Telegram и WhatsApp, и массовые сбои в работе сервисов наблюдались по всей стране. На прошлой неделе, на фоне массовых сбоев в работе WhatsApp в РФ, пресс-служба Роскомнадзора еще раз подтвердила, что ведомство последовательно вводит ограничительные меры в отношении WhatsApp из-за нарушения законодательства. Представители РКН подчеркивали, что WhatsApp используется для проведения и организации «террористических действий на территории» РФ, «для вербовки их исполнителей», а также «для мошеннических и иных преступлений» против россиян. Также отмечалось, что WhatsApp не выполняет требования, которые направлены на пресечение и предупреждение совершения преступлений на территории РФ. В связи с этим Роскомнадзор заявил, что в будущем ведение ограничений в отношении WhatsApp продолжится, а в случае дальнейшего невыполнения требований российского законодательства мессенджер полностью заблокируют в РФ. Кроме того, что 3 декабря 2025 года Роскомнадзор ограничил доступ к игровой платформе Roblox, популярной среди детей и подростков. В РКН пояснили, что причиной стали материалы с пропагандой экстремизма, терроризма, призывами к насилию и пропаганда ЛГБТ (движение признано экстремистским и запрещено в РФ), а также системная неспособность внутренней модерации платформы обеспечивать безопасность публикуемых материалов.

Источник: https://xakep.ru/2025/12/04/facetime-blocked/

Специалисты F6 предупреждают, что злоумышленники маскируют банковский троян для Android под расширенные и «18+» версии популярных приложений, включая YouTube и TikTok. С начала октября 2025 года аналитики обнаружили более 30 доменов, которые использовались для распространения этой малвари. По информации экспертов, злоумышленники создали сеть вредоносных сайтов, маскирующихся под бренды популярных зарубежных видеохостингов YouTube и TikTok, доступ к которым затруднен на территории России. Малварь рекламируется под видом приложений TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced и «Ютуб-Плюс», которые обещают просмотр без рекламы, 4K-видео и работу даже с плохим интернетом. Кроме того, хакеры маскируют вредоносное ПО под навигаторы, онлайн-карты постов ДПС и приложение для оплаты штрафов. Домены злоумышленников зарегистрированы в зонах .ru, .top, .pro, .fun, .life, .live, .icu, .com и .cc. В названиях сайтов использованы названия знакомых пользователям брендов, а также слова вроде ultra, mega, boost, plus, max. Отмечается, что все сайты индексировались российскими поисковиками.
Первые случаи создания таких сайтов мы зафиксировали летом 2025 года. Осенью, после начала учебного года, произошел всплеск регистрации доменов, которые злоумышленники использовали для размещения вредоносных приложений», — комментирует Александр Сапов, старший аналитик второй линии CERT департамента Digital Risk Protection компании F6.
Каждый такой сайт представляет собой лендинг, где пользователям обещают отсутствие рекламы, скачивание видео в формате 4K, фоновый режим для музыки и, конечно, доступ к заблокированному контенту. Чтобы получить все это, предлагается загрузить и установить APK-файл, который на самом деле содержит малварь. Троян способен читать и отправлять SMS, совершать звонки, собирать информацию о контактах и установленных приложениях, получать сетевые данные и запускаться автоматически при включении устройства. Также вредонос может выводить собственные элементы интерфейса поверх других окон. В итоге злоумышленники получают полный контроль над устройством: могут следить за действиями жертвы, незаметно передавать данные и совершать действия от имени пользователя. Конечная цель этих атак — кража финансовых данных жертвы. В настоящее время все домены этой вредоносной кампании уже заблокированы, однако специалисты не исключают, что злоумышленники могут создать новые и продолжат свою активность.
Замедление YouTube и ограничение доступа к новым видео TikTok в России привело к появлению множества предложений по обходу ограничений. Этой ситуацией не могли не воспользоваться злоумышленники, которые маскируют вредоносные приложения под различные популярные программы», — отмечает Александр Бондал, старший аналитик первой линии CERT департамента Digital Risk Protection компании F6.

Источник: https://xakep.ru/2025/12/04/fake-apps-trojan/

Разработчики Google выпустили декабрьское обновление для операционной системы Android, в общей сложности устранив 107 уязвимостей. В их числе были две проблемы нулевого дня, которые уже активно эксплуатировались злоумышленниками в целевых атаках. 0-day-уязвимости получили идентификаторы CVE-2025-48633 и CVE-2025-48572. Первая позволяет получить несанкционированный доступ к конфиденциальной информации, а вторая дает возможность повысить привилегии в системе. Баги затрагивают широкий спектр версий Android, начиная с версии 13 и заканчивая версией 16. В официальном бюллетене безопасности Google подтвердила, что обе уязвимости уже использовались в ограниченных целенаправленных атаках. Технические детали эксплуатации багов компания традиционно не раскрывает, чтобы не облегчить задачу другим злоумышленникам. Однако в прошлом уязвимости такого типа обычно использовались в атаках коммерческой спайвари, а также применялись «правительственными» хакерами и спецслужбами. Также следует отметить, что наиболее опасной из исправленных в этом месяце проблем стала CVE-2025-48631, обнаруженная в компоненте Android Framework и способная вызвать отказ в обслуживании. Декабрьское обновление, как обычно, разделено на два уровня: первый уровень (2025-12-01) закрывает 51 уязвимость в компонентах Android Framework и системных модулях; второй уровень (2025-12-05) устраняет 56 проблем в ядре ОС и сторонних компонентах с закрытым исходным кодом. Здесь отдельного внимания заслуживают четыре критических уязвимости, связанные с повышением привилегий и найденные в подсистемах ядра Pkvm и UOMMU, а также два критических бага в устройств на базе Qualcomm (CVE-2025-47319 и CVE-2025-47372). Подробности об этих и других исправлениях для закрытых компонентов доступны в отдельных бюллетенях Qualcomm и MediaTek.

Источник: https://xakep.ru/2025/12/03/android-0days-2/