BREAKING: முக்கிய React குறைபாடு கிரிப்டோ சொத்துக்களை மிகப்பெரிய திருட்டுக்கு அம்பலப்படுத்துகிறது! உங்கள் இணையதளங்கள் பாதுகாப்பானதா?

TECH
Whalesbook Logo
AuthorRahul Suri|Published at:
BREAKING: முக்கிய React குறைபாடு கிரிப்டோ சொத்துக்களை மிகப்பெரிய திருட்டுக்கு அம்பலப்படுத்துகிறது! உங்கள் இணையதளங்கள் பாதுகாப்பானதா?
Overview

CVE-2025-55182 என்றழைக்கப்படும் ஒரு கடுமையான பாதுகாப்பு குறைபாடு, React Server Components-ல் தற்போது தீவிரமாக சுரண்டப்படுகிறது. இது React மற்றும் Next.js பயன்பாடுகளை பாதிக்கிறது. இந்த குறைபாடு அங்கீகாரம் இல்லாமல் ரிமோட் கோட் எக்ஸிகியூஷனை (remote code execution) அனுமதிக்கிறது, ஆயிரக்கணக்கான இணையதளங்களுக்கு உடனடி ஆபத்தை ஏற்படுத்துகிறது, குறிப்பாக கிரிப்டோ தளங்களுக்கு, அங்கு பயனர் சொத்துக்கள் வடிகட்டப்படலாம். அச்சுறுத்தல் குழுக்கள் malware மற்றும் mining software-ஐ தீவிரமாகப் பயன்படுத்துகின்றன.

React Server Components குறைபாடு கிரிப்டோ தளங்களுக்கு 'உடனடி ஆபத்து' ஏற்படுத்துகிறது

React Server Components-ல் உள்ள ஒரு முக்கியமான பாதுகாப்பு குறைபாடு, CVE-2025-55182 என அடையாளம் காணப்பட்டுள்ளது, தற்போது பல அச்சுறுத்தல் குழுக்களால் தீவிரமாக சுரண்டப்படுகிறது. இந்த குறைபாடு ஆயிரக்கணக்கான இணையதளங்களுக்கு, குறிப்பாக கிரிப்டோகரன்சி தளங்களுக்கு உடனடி ஆபத்தை ஏற்படுத்துகிறது, இதனால் பயனர்களின் சொத்துக்கள் திருடப்படும் என்ற கவலை எழுந்துள்ளது.

முக்கிய சிக்கல்

இந்தக் குறைபாடு React Server Components-ல் உள்ளது, இது ஒரு வலை பயன்பாட்டின் சில பகுதிகளை பயனரின் உலாவியில் (browser) செயல்படுவதற்குப் பதிலாக நேரடியாக சர்வரில் (server) இயக்க அனுமதிக்கிறது. தாக்குபவர்கள், சிறப்பாக வடிவமைக்கப்பட்ட இணைய கோரிக்கையை (web request) அனுப்புவதன் மூலம் இந்த குறைபாட்டைப் பயன்படுத்திக் கொள்ளலாம். இந்த கோரிக்கை, சர்வரை அங்கீகாரம் தேவையில்லாமல் தன்னிச்சையான கட்டளைகளை (arbitrary commands) இயக்கச் செய்கிறது, இதன் மூலம் தாக்குபவர்களுக்கு பாதிக்கப்பட்ட அமைப்பின் மீது கட்டுப்பாடு கிடைக்கிறது.

நிதி சார்ந்த பாதிப்புகள்

இதன் விளைவுகள், குறிப்பாக கிரிப்டோகரன்சி துறைக்கு மிகவும் கடுமையானவை. கிரிப்டோ தளங்கள், வாலட் பரிமாற்றங்கள் (wallet interactions), பரிவர்த்தனை கையொப்பமிடுதல் (transaction signing) மற்றும் அனுமதி ஒப்புதல்கள் (permit approvals) போன்ற முக்கிய செயல்பாடுகளைச் செய்ய React மற்றும் Next.js போன்ற நவீன JavaScript framework-களை பெரிதும் நம்பியுள்ளன. ஒரு பாதிக்கப்பட்ட இணையதளம் தீங்கிழைக்கும் ஸ்கிரிப்ட்களை (malicious scripts) உட்புகுத்தினால், தாக்குபவர்கள் இந்த முக்கியமான பரிவர்த்தனைகளை இடைமறிக்கலாம் அல்லது அவற்றை தங்கள் சொந்த வாலட்களுக்கு திசை திருப்பலாம், அடிப்படை பிளாக்செயின் (blockchain) பாதுகாப்பாக இருந்தாலும் கூட. இது முன்-இறுதி (front-end) குறைபாடுகளை, உலாவிகள் மூலம் தங்கள் வாலட்களுடன் தொடர்பு கொள்ளும் பயனர்களுக்கு மிகவும் ஆபத்தானதாக மாற்றுகிறது.

பரவலான சுரண்டல் காணப்படுகிறது

Google Threat Intelligence Group (GTIG) இந்த குறைபாட்டின் பரவலான சுரண்டலை ஆவணப்படுத்தியுள்ளது. நிதி சார்ந்த குற்றவாளிகள் முதல் சந்தேகத்திற்கிடமான அரசு ஆதரவு பெற்ற ஹேக்கிங் குழுக்கள் வரை, அச்சுறுத்தல் நடிகர்கள் (threat actors) பேட்ச் செய்யப்படாத (unpatched) React மற்றும் Next.js பயன்பாடுகளை குறிவைக்கின்றனர். இந்த பிரச்சாரங்களின் நோக்கம் malware-ஐ நிறுவுதல், backdoors-ஐ நிறுவுதல் மற்றும் Monero போன்ற கிரிப்டோகரன்சிகளை மைனிங் செய்வது ஆகும். இது தாக்குபவரின் லாபத்திற்காக சர்வர் வளங்களையும் மின்சாரத்தையும் அமைதியாகப் பயன்படுத்துகிறது, அதே நேரத்தில் பாதிக்கப்பட்டவர்களுக்கு கணினி செயல்திறனைக் குறைக்கிறது.

அதிகாரப்பூர்வ அறிக்கைகள் மற்றும் பதில்கள்

React-ஐ உருவாக்கிய Meta நிறுவனம், டிசம்பர் 3 அன்று இந்த சிக்கலை வெளிப்படுத்தியது மற்றும் இதற்கு மிக உயர்ந்த பாதுகாப்பு மதிப்பீட்டை வழங்கியது. இந்த குறைபாடு React பதிப்புகள் 19.0 முதல் 19.2.0 வரை பாதிக்கிறது, இதில் Next.js போன்ற பிரபலமான framework-களால் பொதுவாகப் பயன்படுத்தப்படும் தொகுப்புகளும் (packages) அடங்கும். இந்த பாதிப்புக்குள்ளான தொகுப்புகளின் இருப்பு மட்டுமே சுரண்டலுக்கு போதுமானதாக இருக்கலாம்.

எதிர்கால பார்வை

இந்த குறைபாடு வெளிப்படுத்தப்பட்ட உடனேயே காணப்பட்ட விரைவான மற்றும் பரவலான சுரண்டல், டெவலப்பர்கள் மற்றும் நிறுவனங்கள் தங்கள் பயன்பாடுகளை பேட்ச் செய்வதன் அவசரத்தை அடிக்கோடிட்டுக் காட்டுகிறது. வலுவான சர்வர்-சைட் ரெண்டரிங் (server-side rendering) தொழில்நுட்பங்களை நம்பியிருப்பது, இதுபோன்ற குறைபாடுகளுக்கு பரந்த அளவிலான விளைவுகள் ஏற்படக்கூடும் என்பதைக் குறிக்கிறது, இது விழிப்புணர்வுடன் கூடிய சைபர் பாதுகாப்பு நடைமுறைகள் மற்றும் உடனடி புதுப்பிப்புகளின் அவசியத்தை வலியுறுத்துகிறது.

தாக்கம்

இந்த குறைபாடு, பாதிப்புக்குள்ளான React மற்றும் Next.js பயன்பாடுகளை நம்பியிருக்கும் வணிகங்களுக்கு, குறிப்பாக நிதி தொழில்நுட்பம் மற்றும் கிரிப்டோகரன்சி துறைகளில் குறிப்பிடத்தக்க ஆபத்தை ஏற்படுத்துகிறது. சாத்தியமான தாக்கங்களில் தரவு மீறல்கள் (data breaches), நிதிச் சொத்து திருட்டு, நற்பெயர் பாதிப்பு மற்றும் சேவை இடையூறுகள் ஆகியவை அடங்கும். தற்போதைய சுரண்டல், முக்கிய இணைய உள்கட்டமைப்பை குறிவைக்கும் அதிநவீன சைபர் தாக்குதல்களின் தொடர்ச்சியான அச்சுறுத்தலை எடுத்துக்காட்டுகிறது.

Impact Rating: 8/10

கடினமான சொற்களின் விளக்கம்

  • React Server Components: React JavaScript நூலகத்தில் உள்ள ஒரு அம்சம், இது ஒரு வலை பயன்பாட்டின் சில பகுதிகளை சர்வரில் ரெண்டரிங் செய்து இயக்க அனுமதிக்கிறது, செயல்திறன் மற்றும் SEO-வை மேம்படுத்துகிறது.
  • CVE (Common Vulnerabilities and Exposures): பொதுவெளியில் அறியப்பட்ட தகவல் பாதுகாப்பு குறைபாடுகள் மற்றும் வெளிப்பாடுகளின் அகராதி. CVE-2025-55182 என்பது இந்த குறிப்பிட்ட குறைபாட்டிற்கான தனித்துவமான அடையாளங்காட்டியாகும்.
  • Remote Code Execution (RCE): ஒரு வகை சைபர் தாக்குதல், இதில் தாக்குபவர் ஒரு தொலை கணினியில் அங்கீகாரம் இல்லாமல் தன்னிச்சையான கட்டளைகளை இயக்க முடியும்.
  • Backdoors: ஒரு கணினி அமைப்பில் சாதாரண அங்கீகாரம் அல்லது குறியாக்கத்தை (encryption) தவிர்ப்பதற்கான ஒரு மறைக்கப்பட்ட முறை, இது அங்கீகரிக்கப்படாத அணுகலுக்குப் பயன்படுத்தப்படுகிறது.
  • Monero mining software: Monero (ஒரு கிரிப்டோகரன்சி) ஐ மைனிங் செய்யப் பயன்படும் மென்பொருள், இது தாக்குபவரால் பாதிக்கப்பட்ட கணினிகளில், அவர்களின் லாபத்திற்காக நிறுவப்படலாம், கணினியின் செயலாக்க சக்தியைப் பயன்படுத்தி.
Disclaimer:This content is for educational and informational purposes only and does not constitute investment, financial, or trading advice, nor a recommendation to buy or sell any securities. Readers should consult a SEBI-registered advisor before making investment decisions, as markets involve risk and past performance does not guarantee future results. The publisher and authors accept no liability for any losses. Some content may be AI-generated and may contain errors; accuracy and completeness are not guaranteed. Views expressed do not reflect the publication’s editorial stance.