آسیب‌پذیری در React Developer Tools

آسیب‌پذیری در React Developer Tools

تاریخ ایجاد

به تازگی آسیب‌‌‌‌پذیری جدیدی در React Developer Tools نسخه 4.27.8 کشف شده است. در این آسیب‌پذیری به دلیل عدم اعتبارسنجی URL، مهاجم قادر است با بهره‌برداری از آن‌‌‌، حملات DDoS را اجرا نماید. 
React Developer Tools ابزاری کاربردی برای توسعه‌‌‌دهندگان جهت بررسی مولفه‌‌‌های React است که با استفاده از آن می‌توانند ویژگی‌‌‌ها و وضعیت این مولفه‌‌‌ها را اصلاح و هرگونه مشکلات موجود در عملکرد آن را مشخص کنند. توسعه‌‌‌دهندگان با استفاده از این ابزار می‌‌‌توانند به راحتی عملکرد برنامه‌‌‌های React را بهینه کرده و تجربه کاربری روان و کارآمدی را برای کاربران فراهم نمایند.
React Developer Tools یک شنونده پیام (message listener) را در یک اسکریپت محتوا ثبت می‌‌‌کند که توسط یک صفحه وب فعال در مرورگر قابل دسترسی است. زمانی‌‌‌که کد شنونده، URL مشتق شده از پیام دریافتی را درخواست می‌‌‌کند، URL اعتبارسنجی نمی‌‌‌شود و به یک صفحه وب مخرب اجازه می‌‌‌دهد تا URLها را از طریق مرورگر قربانی به طور دلخواه واکشی کنند.
یکی از روش‌‌‌های بهره‌برداری از این آسیب‌‌‌پذیری، ایجاد کلیک‌‌‌های تبلیغاتی است که مهاجمان را قادر می‌‌‌‌‌‌سازد تا با استفاده از آن به درآمدزایی برسند. این روش همچنین می‌‌‌تواند با مرورگرهای دیگر ترکیب شده و بدون اطلاع یا رضایت کاربر قربانی، منجر به حمله DDoS شود. در واقعیت این احتمال وجود دارد که صفحه وب مخرب به طور خودکار پیام‌‌‌هایی را بدون نیاز به تعامل کاربر به افزونه ارسال کند.

محصولات تحت تأثیر
تمامی وب‌‌‌‌‌سایت‌‌‌‌‌هایی که از React Developer Tools نسخه 4.27.8 استفاده می‌‌‌‌‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند. 
 

توصیه امنیتی
آسیب‌‌‌‌‌‌پذیری مورد بحث در نسخه 4.28.4 رفع شده است و کاربران می‌‌‌‌‌‌توانند با بروزرسانی به این نسخه از خطرات احتمالی جلوگیری کنند.
 

منبع خبر:

[1] https://cybersecuritynews.com/react-developer-tools-flaw/