Lỗ hổng CVE-2026-23869 là gì? Hướng dẫn vá lỗi & cập nhật chi tiết

Cập Nhật Lần Cuối: 12/05/2026

Lỗ hổng CVE-2026-23869 là gì? Hướng dẫn vá lỗi & cập nhật chi tiết

Lỗ hổng Denial of Service mức độ nghiêm trọng trong React 19 đang cho phép kẻ tấn công làm tê liệt CPU máy chủ mà không cần xác thực. Nguy cơ này đang bị khai thác trực tiếp trên thực tế và đe dọa sự ổn định của mọi hệ thống đang vận hành React Server Components.

CVE-2026-23869 là gì?

CVE-2026-23869 là lỗ hổng bảo mật mức độ CAO (7.5/10) ảnh hưởng đến các ứng dụng web sử dụng React 19 có tính năng Server Actions. Đây là lỗ hổng thứ ba trong chuỗi liên quan đến cùng một vấn đề. Các bản vá trước đó vào tháng 12/2025 và tháng 1/2026 đều chưa xử lý triệt để. Lỗ hổng này đang bị khai thác ngoài thực tế , kẻ tấn công không cần tài khoản, không cần kỹ thuật cao, chỉ cần gửi một request được tạo sẵn là có thể khiến server ngừng hoạt động hoàn toàn.

Cơ chế gây tê liệt hệ thống

React Server Components vận hành dựa trên giao thức Flight protocol để truyền tải dữ liệu giữa client và server. Khi người dùng thực hiện một Server Action, yêu cầu này được gửi đi dưới dạng multipart/form-data và máy chủ sẽ tiến hành deserialize payload thông qua hàm reviveModel().

Tuy nhiên, lỗ hổng phát sinh do React không thực hiện kiểm tra các key trong payload là own property hay inherited prototype property. Kẻ tấn công lợi dụng sơ hở này để chèn các tham chiếu vòng lặp vô hạn (circular reference) và thực hiện kỹ thuật prototype traversal nhằm đánh lừa trình giải mã của hệ thống. Thay vì xử lý các tác vụ thông thường, máy chủ sẽ bị vắt kiệt tài nguyên CPU để giải quyết các yêu cầu độc hại không có điểm dừng, dẫn đến tình trạng treo hoàn toàn ngay lập tức.

Rủi ro thực tế khi bị khai thác

  • Dịch vụ ngừng hoàn toàn: Server bị chiếm toàn bộ tài nguyên, không thể phục vụ bất kỳ người dùng nào trong suốt thời gian bị tấn công.
  • Downtime không giới hạn: Mỗi request tấn công khiến server treo khoảng 60 giây. Kẻ tấn công có thể gửi liên tục và tự động, duy trì trạng thái sập không giới hạn.
  • Ngưỡng tấn công cực thấp: Không cần tài khoản, không cần kỹ thuật cao. Bất kỳ ai trên internet đều có thể thực hiện tấn công này.
  • Ảnh hưởng doanh thu trực tiếp: Mọi giao dịch và tương tác của người dùng với hệ thống đều bị gián đoạn trong thời gian bị tấn công.

VNIS — Giải pháp bảo mật & tăng tốc Web/App/API

Ngay khi CVE-2026-23869 được công bố, VNIS của VNETWORK đã nhanh chóng cập nhật rule phòng vệ, chặn đứng các request khai thác nhắm vào React Server Components, giúp hệ thống vận hành ổn định và không gián đoạn.

Giải pháp VNIS WAAP bảo mật được kiến tạo từ AI – nơi AI không chỉ là công cụ hỗ trợ, mà đóng vai trò trung tâm trong việc xây dựng giải pháp, dự báo, nhận diện và phòng chống các cuộc tấn công mạng ngày càng tinh vi.

Sitemap HTML