Интернет сегодня снова притворился кирпичом — и, как назло, именно тогда, когда всем нужно было «на пять минут в личный кабинет». Утренний вал «500 Internal Server Error» оказался не нападением на Cloudflare, а побочным эффектом экстренной защиты: компания попыталась закрыть дыру React2Shell и оступилась на собственных изменениях.

По словам CTO Cloudflare Дейна Кнехта, дело не в кибератаке, а в обновлении логики парсинга тела HTTP-запросов. Правки предназначались для обнаружения и митигации индустриальной уязвимости в React Server Components, но сыграли злую шутку с инфраструктурой. В итоге пострадал «лишь» поднабор клиентов — примерно 28% всего HTTP-трафика, проходящего через сеть компании. Когда у Cloudflare «чихает» четверть трафика, весь интернет достаёт платочки.

Что за дыра такая? CVE-2025-55182, она же React2Shell, бьёт по протоколу Flight в RSC и позволяет неаутентифицированному злоумышленнику исполнить произвольный код — достаточно хитро сформированного HTTP-запроса к Server Function-эндпоинту. Под ударом связка React 19.0, 19.1.0, 19.1.1 и 19.2.0, а также пакеты по умолчанию из семейства react-server-dom-*; за компанию рискуют проекты на Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc и RedwoodSDK.

И да, это не теория. Исследователи AWS сообщают об активности групп, связываемых с Китаем (включая Earth Lamia и Jackpot Panda), а NHS England предупреждает: публичные PoC уже есть, «успешная эксплуатация в дикой природе крайне вероятна». Не тот случай, когда можно «подождать до понедельника».

Контекст тоже небезынтересен: за последний год у Cloudflare уже были громкие сбои — от шестичасовой истории с базой данных до июньских проблем с Access и Zero Trust WARP, зацепивших и соседей по облаку.

Практический вывод для команд: срочно обновляйтесь до патченных версий React или временно отключайте/ограничивайте RSC там, где это возможно; жёстче фильтруйте доступ к Server Function-эндпоинтам; катите митигации поэтапно и под наблюдением телеметрии. И, пожалуйста, не делайте крупных правок парсера тел запросов в пиковый час — интернет любит драму, но не настолько.