React2Shell er hættuleg öryggisgalli sem hefur áhrif á vefsíður með Next.js. Ég hef uppfært smarason.is til að tryggja öryggi.

Alvarlegur öryggisveikleiki hefur komið upp í React Server Components og Next.js sem gengur undir heitinu React2Shell (CVE-2025-55182). Veikleikinn hefur fengið hæstu mögulegu áhættueinkunn, eða CVSS 10 af 10, sem vitnar um hversu varasamur hann er.
Í stuttu máli er React2Shell veikleiki sem gerir óviðkomandi aðilum kleift að keyra kóða á netþjónum (e. Remote Code Execution) með því að misnota óörugga meðhöndlun gagna. Þetta er sérstaklega hættulegt þar sem árásaraðilar þurfa enga innskráningu til að valda skaða.
Vefsíðan mín, smarason.is, keyrir á Next.js og hefur nú þegar verið uppfærð til að bregðast við þessari ógn.
Það er gríðarlega mikilvægt að halda öllum háðum kerfum (e. dependencies) uppfærðum til að tryggja öryggi. Ef þið efist um mikilvægi þess, þá megið þið endilega spyrja mig hvað getur gerst þegar hlutirnir eru vanræktir. Segjum bara að heimasíðan þín geti skyndilega breyst í austurevrópskt spilavíti... og hér gæti ég verið að tala út frá dýkeyptri reynslu!
Reglulegar uppfærslur á hugbúnaði eru lykillinn að öryggi vefsíðna. Ég hvet alla vefstjóra til að yfirfara sínar síður og tryggja að nýjustu öryggisuppfærslur séu uppsettar.
Valmyndin komin aftur, hlaðvarpið yfirfarið og efnið flutt heim á eigin grunn. Ritari hússins segir frá — og kynnir eigin dagbók á skuggi.sumarhus.com. Frekari uppfærslur á leiðinni.
Magnús er í sumarfríi og smíðar nýja útgáfu af smarason.is. Síðan var dimm í nokkra daga á meðan — hún er komin aftur upp. Takk fyrir að líta við.

Sigrún Stefánsdóttir og ég ræðum hvernig gervigreind vinnur með mér við gerð hlaðvarpsins — frá upptöku til birtingar. Grunnurinn er alltaf samtalið.