React2Shell og uppfærsla vefsíðunnar minnar

Magnús Smári Smárason·9. desember 2025

React2Shell öryggi Next.js uppfærsla Web Development

Deila

React2Shell er hættuleg öryggisgalli sem hefur áhrif á vefsíður með Next.js. Ég hef uppfært smarason.is til að tryggja öryggi.

React2Shell og öryggisuppfærsla á smarason.is

Alvarlegur öryggisveikleiki hefur komið upp í React Server Components og Next.js sem gengur undir heitinu React2Shell (CVE-2025-55182). Veikleikinn hefur fengið hæstu mögulegu áhættueinkunn, eða CVSS 10 af 10, sem vitnar um hversu varasamur hann er.

Hvað er React2Shell?

Í stuttu máli er React2Shell veikleiki sem gerir óviðkomandi aðilum kleift að keyra kóða á netþjónum (e. Remote Code Execution) með því að misnota óörugga meðhöndlun gagna. Þetta er sérstaklega hættulegt þar sem árásaraðilar þurfa enga innskráningu til að valda skaða.

Uppfærsla á smarason.is

Vefsíðan mín, smarason.is, keyrir á Next.js og hefur nú þegar verið uppfærð til að bregðast við þessari ógn.

Það er gríðarlega mikilvægt að halda öllum háðum kerfum (e. dependencies) uppfærðum til að tryggja öryggi. Ef þið efist um mikilvægi þess, þá megið þið endilega spyrja mig hvað getur gerst þegar hlutirnir eru vanræktir. Segjum bara að heimasíðan þín geti skyndilega breyst í austurevrópskt spilavíti... og hér gæti ég verið að tala út frá dýkeyptri reynslu!

Mikilvægi uppfærslna

Reglulegar uppfærslur á hugbúnaði eru lykillinn að öryggi vefsíðna. Ég hvet alla vefstjóra til að yfirfara sínar síður og tryggja að nýjustu öryggisuppfærslur séu uppsettar.

Tengdar greinar

Sjá allar greinar →

Psychedelic surreal geimbókasafn með þremur ljómandi persónum sem lesa forna bækur í litríku alheimslandslagi fullu af galaxíum, regnboga, fljótandi plánetum og mystískum táknum.

Blogg

Ekki segja þeim hvað ætti að vera erfitt

Skapandi gervigreind er ekki eitthvað sem við rennum bara ljúflega inn í okkar fyrra venjulega líf. Hlutir sem áður voru erfiðir eru það einfaldlega ekki lengur.

11 dagar síðan

Blogg

Samfélag og tækni

Er „Sjallasleikurinn“ dauður? – Að þora að vera til á tímum gervigreindar

Sjallasleikurinn er táknmynd fyrir frelsi til að gera mistök. En á tímum eftirlitsmenningar og gervigreindar — erum við í raun og veru frjáls?

26 dagar síðan

Stílfærður dómstóll þar sem gervigreindardómari úr kóða og gagnatáknum dæmir ritgerðir nemenda

Blogg

Þegar gervigreind verður dómari (2. hluti): Tvískinnungurinn: Þegar gervigreind dæmir nemendur.

Ef það telst stjórnsýsluleg vanræksla að nota Claude til að dæma framlag fræðafólks, hvers vegna telst það þá „fræðilegur heiðarleiki“ að nota Turnitin til að dæma frumleika nemanda?

u.þ.b. 2 mánuðir síðan