React2Shell og uppfærsla vefsíðunnar minnar

Magnús Smári Smárason·9. desember 2025

React2Shell öryggi Next.js uppfærsla Web Development

Deila

React2Shell er hættuleg öryggisgalli sem hefur áhrif á vefsíður með Next.js. Ég hef uppfært smarason.is til að tryggja öryggi.

React2Shell og öryggisuppfærsla á smarason.is

Alvarlegur öryggisveikleiki hefur komið upp í React Server Components og Next.js sem gengur undir heitinu React2Shell (CVE-2025-55182). Veikleikinn hefur fengið hæstu mögulegu áhættueinkunn, eða CVSS 10 af 10, sem vitnar um hversu varasamur hann er.

Hvað er React2Shell?

Í stuttu máli er React2Shell veikleiki sem gerir óviðkomandi aðilum kleift að keyra kóða á netþjónum (e. Remote Code Execution) með því að misnota óörugga meðhöndlun gagna. Þetta er sérstaklega hættulegt þar sem árásaraðilar þurfa enga innskráningu til að valda skaða.

Uppfærsla á smarason.is

Vefsíðan mín, smarason.is, keyrir á Next.js og hefur nú þegar verið uppfærð til að bregðast við þessari ógn.

Það er gríðarlega mikilvægt að halda öllum háðum kerfum (e. dependencies) uppfærðum til að tryggja öryggi. Ef þið efist um mikilvægi þess, þá megið þið endilega spyrja mig hvað getur gerst þegar hlutirnir eru vanræktir. Segjum bara að heimasíðan þín geti skyndilega breyst í austurevrópskt spilavíti... og hér gæti ég verið að tala út frá dýkeyptri reynslu!

Mikilvægi uppfærslna

Reglulegar uppfærslur á hugbúnaði eru lykillinn að öryggi vefsíðna. Ég hvet alla vefstjóra til að yfirfara sínar síður og tryggja að nýjustu öryggisuppfærslur séu uppsettar.

Tengdar greinar

Sjá allar greinar →

Blogg

Samfélag og tækni

Er „Sjallasleikurinn“ dauður? – Að þora að vera til á tímum gervigreindar

Sjallasleikurinn er táknmynd fyrir frelsi til að gera mistök. En á tímum eftirlitsmenningar og gervigreindar — erum við í raun og veru frjáls?

4 dagar síðan

Stílfærður dómstóll þar sem gervigreindardómari úr kóða og gagnatáknum dæmir ritgerðir nemenda

Blogg

Þegar gervigreind verður dómari (2. hluti): Tvískinnungurinn: Þegar gervigreind dæmir nemendur.

Ef það telst stjórnsýsluleg vanræksla að nota Claude til að dæma framlag fræðafólks, hvers vegna telst það þá „fræðilegur heiðarleiki“ að nota Turnitin til að dæma frumleika nemanda?

28 dagar síðan

Hamar dómarans með upplýsingum frá vefnaði stórra mállíkana

Blogg

Þegar gervigreind verður dómari (1. hluti): Lexía sem Ísland má ekki missa af

Mál Háskólans á Bifröst afhjúpar alvarlega bresti í skilningi á tækni þegar mállíkanið Claude var nýtt til að meta starfsheiður fólks. Gervigreind er öflugt hjálpartæki en hræðilegur húsbóndi. Hér er fjallað um takmarkanir mállíkana, fágaða vitleysu „sophisticated bullshit“ og hvers vegna vélar eiga aldrei að sitja í dómarasæti þegar ákvarðanir hafa alvarlegar afleiðingar. Greinin byggir alfarið á opinberri fjölmiðlaumfjöllun og gerir ekki ráð fyrir að öll málsatvik séu fullkunn.

u.þ.b. 1 mánuður síðan