Kritisk sårbarhed i React-software til hjemmesider: Tjek om din virksomhed er udsat.
En ny, kritisk sårbarhed i det populære JavaScript-framework React til websites har skabt betydelig uro i cybersikkerhedsmiljøet. Læs her, hvordan I tjekker, om I bruger React, og hvordan I udbedrer sårbarheden.
React (React Server Components - RSC) bruges i hundredtusindvis af webapplikationer globalt – også i Danmark – men mange virksomheder er ikke klar over, at de faktisk benytter det.
For at hjælpe danske virksomheder peger vi derfor på et værktøj, hvor du på få sekunder kan tjekke, om jeres website eller leverandørprodukt bruger React eller relaterede frameworks.
Hvad er React – og hvorfor er det vigtigt?
React er et open-source UI-framework udviklet af Meta og anvendt i alt fra sociale medier til kundevendte portaler, webshops, serviceplatforme og mobile apps.
React ligger også bag populære frameworks som:
- Next.js
- Gatsby
- React Native
- Strapi
- Vite + React
- CRA (Create React App)
Det betyder, at du kan være afhængig af React uden at vide det, fordi mange danske leverandører og web- og marketingbureauer bruger React som standard.
Den aktuelle sårbarhed
En række cybersikkerhedsmedier samt Forsvarets Efterretningstjeneste har udsendt et varsel om, at der er identificeret en kritisk sårbarhed i React. Sårbarheden påvirker mange versioner, som på nuværende tidspunkt er i aktiv brug. Den kan udnyttes ved manipulation af UI-komponenter, hvilket potentielt kan føre til kompromittering af brugersessioner eller eksekvering af skadelig kode.
Kort sagt: Har du React i dit websites stack – direkte eller indirekte – skal du handle hurtigt.
Tjek selv om din virksomhed bruger React
For at give DI’s medlemsvirksomheder et konkret og nemt værktøj, anbefaler vi at bruge: Ful.io - Website Tech Lookup
Her kan du indtaste en valgfri webadresse og se:
- Om siden bruger React
- Om den bruger Next.js eller andre afledte React-teknologier
- Hvilke andre frameworks der indgår
- Om der er kendte JavaScript-komponenter, der kan være sårbare
Fordel: Du behøver ikke teknisk viden.
Værktøjet scanner automatisk og viser resultatet i klar tekst.
Dette kan også bruges til at tjekke jeres:
- Leverandørers løsninger
- Underleverandører
- White-label portaler
- Datterselskabers websites
- Samarbejdspartneres tekniske setup
"Vi bruger ikke React..." - Er du helt sikker?
I vores arbejde ser vi ofte, at virksomheder tror, de ikke bruger moderne frameworks – men ful.io-scanninger viser noget andet.
Typiske skjulte kilder til React kan være:
- Et eksternt bureau bruger React i jeres website
- Jeres login-, kundeportal- eller administrationsmodul er bygget i Next.js
- En SaaS-platform benytter React i dashboardet
- Et marketingplugin eller cookie-værktøj er bygget i React
- Jeres PIM-, BI- eller ERP-portal bruger et React-UI-framework
Derfor bør enhver virksomhed tjekke sig selv – også hvis man “ikke tror”, man bruger React.
Hvad skal I som virksomheder gøre for at fjerne sårbarheder i React?
- Undersøg om I er ramt af sårbarheden
Først tjekker I jeres eget website.
Scan jeres domæner via Ful.io
Bed leverandører om en komponentliste
Spørg:
- Bruger I React, Next.js eller relaterede biblioteker?
- Hvilke versioner?
- Hvornår er seneste sikkerhedsopdatering implementeret?
Udbedre sårbarheden:
Opdater til den nyeste sikre version af React
Tjek React's sikkerhedsopdateringer (når CVE offentliggøres)
Forebyg jeres kontrakter og krav til leverandører
Indfør krav om:
- Hurtig patching
- CVE-ansvar
- Dokumenterede afhængigheder
Frontend er en del af jeres angrebsflade
Denne sårbarhed i React er et tydeligt eksempel på, at moderne webteknologi har en kompleks forsyningskæde. Frontend-moduler er ikke længere “ufarligt UI” – de er reelle angrebspunkter.
Hvis du arbejder med web, e-handel, portaler, selvbetjening eller SaaS - så er der stor sandsynlighed for, at React indgår i jeres teknologi.
Tjek det hellere én gang for meget
