“Хакеры не виноваты”. Cloudflare официально признала, что четверть интернета обрушил их собственный патч против React2Shell
NewsMakerКак гонка вооружений со злоумышленниками привела к самому нелепому сбою года в пятницу.
Глобальная инфраструктура Cloudflare во второй раз за месяц дала серьёзный сбой - и теперь становится ясно, что причина кроется не в атаке, а в спешке закрыть критическую дыру в популярной JavaScript-библиотеке React, получившую имя React2Shell (CVE-2025-55182).
Ранним утром 5 декабря по восточноамериканскому времени часть сети провайдера буквально потухла: около четверти всего HTTP-трафика, проходившего через узлы Cloudflare, начали возвращать ошибки. По оценке компании, на пике инцидента недоступной оказалась примерно 28% обработанных запросов - это миллионы пользователей и онлайн-сервисов, завязанных на CDN, веб-экран и защитные сервисы платформы. Перебой длился чуть менее получаса, но для сайтов, которые полностью полагаются на Cloudflare, он обернулся полной изоляцией от аудитории.
Позже технический директор Cloudflare Дэйн Кнект в разборе происшествия отдельно подчеркнул , что речь не шла о взломе или внешнем вмешательстве. Отказ, по его словам, спровоцировали изменения в логике обработки HTTP вплоть до байта, которые внедрялись для обнаружения и блокировки новой критической уязвимости в React Server Components. Попытка оперативно встроить фильтры под React2Shell привела к тому, что часть прокси-узлов с устаревшим программным стеком начала падать с ошибками и отвечать клиентам кодом 500.
Риск, из-за которого команда пошла на столь нервную доработку, уже несколько дней остаётся в центре внимания индустрии. React2Shell - это ошибка десериализации, оценённая максимально возможным баллом по шкале CVSS: 10 из 10. Для злоумышленника она особенно привлекательна тем, что не требует ни аутентификации, ни сложной подготовки: достаточно отправить специально сформированный запрос на уязвимый сервис, чтобы удалённо исполнить произвольный код. Под удар попадают не только проекты, использующие сам React, но и целый пласт инфраструктуры вокруг него, включая фреймворк Next.js и популярные сборщики.
Глобальная инфраструктура Cloudflare во второй раз за месяц дала серьёзный сбой - и теперь становится ясно, что причина кроется не в атаке, а в спешке закрыть критическую дыру в популярной JavaScript-библиотеке React, получившую имя React2Shell (CVE-2025-55182).
Ранним утром 5 декабря по восточноамериканскому времени часть сети провайдера буквально потухла: около четверти всего HTTP-трафика, проходившего через узлы Cloudflare, начали возвращать ошибки. По оценке компании, на пике инцидента недоступной оказалась примерно 28% обработанных запросов - это миллионы пользователей и онлайн-сервисов, завязанных на CDN, веб-экран и защитные сервисы платформы. Перебой длился чуть менее получаса, но для сайтов, которые полностью полагаются на Cloudflare, он обернулся полной изоляцией от аудитории.
Позже технический директор Cloudflare Дэйн Кнект в разборе происшествия отдельно подчеркнул , что речь не шла о взломе или внешнем вмешательстве. Отказ, по его словам, спровоцировали изменения в логике обработки HTTP вплоть до байта, которые внедрялись для обнаружения и блокировки новой критической уязвимости в React Server Components. Попытка оперативно встроить фильтры под React2Shell привела к тому, что часть прокси-узлов с устаревшим программным стеком начала падать с ошибками и отвечать клиентам кодом 500.
Риск, из-за которого команда пошла на столь нервную доработку, уже несколько дней остаётся в центре внимания индустрии. React2Shell - это ошибка десериализации, оценённая максимально возможным баллом по шкале CVSS: 10 из 10. Для злоумышленника она особенно привлекательна тем, что не требует ни аутентификации, ни сложной подготовки: достаточно отправить специально сформированный запрос на уязвимый сервис, чтобы удалённо исполнить произвольный код. Под удар попадают не только проекты, использующие сам React, но и целый пласт инфраструктуры вокруг него, включая фреймворк Next.js и популярные сборщики.