Уязвимость безопасности в React, связанная с серверными компонентами React, была обнаружена в праздничные выходные.
29 ноября Лахлан Дэвидсон, консультант по безопасности новозеландской охранной фирмы Carapace, сообщил об уязвимости. Он позволяет удаленное выполнение кода без аутентификации, используя недостаток в том, как React декодирует полезные данные, отправляемые в конечные точки функций сервера React.
«Даже если ваше приложение не реализует какие-либо конечные точки серверных функций React, оно все равно может быть уязвимым, если ваше приложение поддерживает серверные компоненты React», — предупредила команда React в среду.
Уязвимость присутствует в версиях 19.0, 19.1.0, 19.1.1 и 19.2.0:
- реакция-сервер-dom-webpack
- реакция-сервер-дом-посылка
- реакция-сервер-дом-турбопак
Команда отметила, что это требует немедленных действий: исправление появилось в версиях 19.0.1, 19.1.2 и 19.2.1. Пользователям необходимо будет обновить пакеты до фиксированных версий.
«Если код React вашего приложения не использует сервер, ваше приложение не подвержено этой уязвимости», — добавили команда. «Если ваше приложение не использует фреймворк, пакет или плагин пакета, поддерживающий серверные компоненты React, ваше приложение не подвержено этой уязвимости».
Затронутые фреймворки и сборщики включают в себя: Next, React-Router, Waku, @parcel/rsc, @vitejs/plugin-rsc и Redwood SDK.
В полной публикации описано, как выполнить обновление для устранения уязвимости.
TanStack выпускает инструмент искусственного интеллекта, не зависящий от платформы
Команда TanStack выпустила в среду TanStack AI, «независимый от платформы набор инструментов для искусственного интеллекта, созданный для разработчиков, которые хотят контролировать свой стек».
«Мы создаем Швейцарию инструментов искусственного интеллекта», — написала команда TanStack. «Честный набор библиотек с открытым исходным кодом (на нескольких языках), который работает с вашим существующим стеком, а не заменяет его».
Альфа-версия включает в себя сервер, поддерживающий несколько языков, включая JavaScript/TypeScript, PHP и Python. Он также предлагает адаптеры для OpenAI, Anthropic, Gemini и Ollama. Команда добавила, что серверная библиотека TypeScript также обрабатывает обобщения и встраивания.
TanStack AI использует открытый опубликованный протокол.
«Мы точно задокументировали, как взаимодействуют сервер и клиент», — заявила команда. «Используйте любой язык, который хотите. Используйте любой транспортный уровень, который хотите. HTTP, веб-сокеты, дымовые сигналы. Пока вы говорите по протоколу через адаптер подключения, наш клиент будет работать с вашим бэкэндом».
Помимо этих функций, он предлагает:
- Поддержка изоморфных инструментов, позволяющая разработчикам один раз определить инструменты с помощью метаопределений, а затем предоставить изолированные реализации для сервера и клиента. «Эта архитектура обеспечивает безопасность типов, которая фактически работает во всем вашем приложении», — заявила команда.
- Клиентские библиотеки для vanilla JS, React и Solid, запланированы Svelte и другие.
- Безопасность типа для каждой модели, которая действительно имеет значение. «У каждого провайдера есть разные варианты. Каждая модель поддерживает разные модальности. Текст, аудио, видео, инструменты», — говорится в сообщении в блоге. «Мы даем вам возможность полного набора параметров поставщика для каждой модели, поэтому ваша IDE точно знает, что может делать каждая модель. Больше не нужно гадать. Больше никаких сюрпризов во время выполнения».
- Изоморфные инструменты разработчика. Они объяснили, что панель инструментов разработчика AI дает представление о том, что LLM делает на обеих сторонах соединения, поэтому вы можете видеть, что происходит на сервере и клиенте.
В разработке находятся и другие компоненты, в том числе компоненты пользовательского интерфейса безголового чат-бота для React и Solid.
Он также перевел API TanStack Pacer в бета-версию. Pacer предоставляет утилиты для независимого от платформы устранения дребезга, регулирования, ограничения скорости, организации очередей и пакетной обработки.
API веб-установки Microsoft доступен для Edge
API веб-установки Microsoft теперь доступен для тестирования на сайтах в качестве исходной пробной версии Microsoft Edge. Он доступен для Windows, macOS и Linux.
«С помощью API веб-установки ваш веб-сайт может запросить браузер установить другие веб-приложения на устройство пользователя, вызвав асинхронную функцию navigator.install()», — написал Диего Гонсалес, менеджер программы Microsoft Edge. «Это позволяет вам вызывать встроенный в браузер процесс установки веб-приложений из вашего собственного пользовательского интерфейса именно тогда, когда вам это нужно».
По сути, это может помочь разработчикам улучшить процесс установки приложения или набора приложений, но его также можно использовать для работы в магазине приложений, отметил Гонсалес.
В сообщении блога представлено краткое руководство по использованию API.
Выпущен Джанго 6.0
В среду научный сотрудник Django Наталья Бидар объявила о доступности версии 6.0 веб-фреймворка Django.
Основные моменты этого выпуска включают в себя:
- Частичные шаблоны, которые «модулируют шаблоны с использованием небольших именованных фрагментов для более чистого и удобного в обслуживании кода».
- Фоновые задачи, которые запускают код вне цикла HTTP-запрос-ответ.
- Политика безопасности контента (CSP), которая защищает от внедрения контента, помогая настраивать и применять политики безопасности на уровне браузера.
- Модернизированный API электронной почты, который позволяет создавать и отправлять электронные письма с помощью Python.
В этом выпуске основная поддержка Django 5.2 завершается, а во вторник вышел последний выпуск с незначительными исправлениями ошибок — 5.2.9. До апреля 2028 года он по-прежнему будет получать исправления безопасности и потери данных, хотя пользователям рекомендуется выполнить обновление до этого момента.
AdventJS в разработке
Ищете новую задачу, но не хотите писать собственную JS-инфраструктуру? Ознакомьтесь с Advent JS, который предлагает задачу по программированию на JavaScript, TypeScript или Python на каждый день до Рождества 25 декабря.
Соревнование Advent of Code началось в 2015 году и является бесплатным; однако, по словам создателя Эрика Вастла, в этом году в него были внесены некоторые изменения, в том числе удаление глобальной таблицы лидеров.
Разработчики могут отправлять столько решений, сколько захотят, и будет сохранен только лучший результат.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Лорейн Лоусон — опытный репортер в области технологий, которая в течение 25 лет освещала технологические вопросы, от интеграции данных до безопасности. До прихода в The New Stack она работала редактором сайта банковских технологий Bank Automation News. У нее есть… Подробнее от Лорейн Лоусон.
