⚡️ Vibe coding: хайп или революция в разработке? ⚡️
#videcoding #coding #разработка #dev #developer #cursor #windsurf #copilot

Недавно один хороший знакомый начал спрашивать тут и тут про вайбкодинг 🕺, что это, зачем оно и как вкатиться. Я ему в голосовой описал в двух словах, что это, как это. Но показалось, что можно рассказать про это подробнее на канале, раз я тоже один из таких "вкатунов"))

Собственно мой активный путь в "вайб кодинге"... всё ещё не привычно говорить столько зумерских слов в одном предложении... Начался с поста от Омара про то, что ты динозавр если ещё не используешь активно ИИ, я до этого пользовался ChatGPT, Claude чуть туда сюда, но не полноценными IDE с ИИ. А так как я прислушиваюсь к старшим коллегам, решил что тоже пора пробовать. Пробовал разные среды, расширения, плагины, сервисы и т.д. Потратил на все тесты более 300$ точно.

📌В итоге пришёл к своему идеалу: Cursor IDE с платной подпиской (вам может хватить и бесплатного тарифа, если вы не кодите на постоянке) и модели от Claude: Sonnet 3.7 для доработки фич и Sonnet 3.7 Thinking для планирования хода разработки, проектирования и собственно создания фич с нуля.

🔗Для тех кому интересно узнать больше о том, как vibe coding появился. Советы от меня при разработке, почекать сравнительную таблица инструментов для вайб кодинга, то велком читать статью в блоге

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

CVE-2025-11953 — unauth RCE из-за уязвимой зависимости в React Native
#CVE #RCE #PoC #developer #dev #metro #react #ReactNative

Metro Development Server, используемый в React Native CLI, по умолчанию слушает все сетевые интерфейсы (0.0.0.0), что делает его доступным из внешних сетей. В сервер встроен эндпоинт POST /open-url, который принимает JSON с полем url. Значение этого поля напрямую передаётся в функцию open(url) из npm-пакета open (версия 6.4.0), которая на Windows вызывает cmd.exe без экранирования аргументов, позволяя выполнить произвольные системные команды с полным контролем параметров, например, запуск calc.exe или создание файла htb-easy-lol.txt.

На Linux и macOS open вызывает команды xdg-open и open без использования shell, аргументы передаются как отдельные параметры, поэтому прямой command injection затруднен. Для полноценного удалённого выполнения команд на этих системах требуются дополнительные уязвимости или эксплуатация особенностей URI-схем, таких как запуск локальных файлов через file://.

Проблема связана с тем, что React Native CLI запускает Metro Development Server, который использует уязвимый open-пакет для обработки /open-url, открывая путь к удалённому выполнению кода в среде разработки. Это критично, так как dev-сервер в ряде случаев доступен из внешних сетей и обрабатывает команды без защиты. Признайтесь, делали же проекты на 5 минут и потом это висело месяц в проде?)

Уязвимый пакет: @react-native-community/cli-server-api и @react-native-community/cli
Уязвимые версии: 4.8.0 — 20.0.0-alpha.2
CVSS: 9.8

➡️Последовательность атаки
- Атакующий отправляет специально сформированный POST-запрос

POST /open-url HTTP/1.1
Host: vulnerable-dev-server:8081
Content-Type: application/json
Content-Length: <length>

{
  "url": "calc.exe"
}

- Metro сервер, доступный из внешней сети, принимает запрос.
- Введенные данные передаются в функцию open(), вызывающую системные команды без защиты.
- Атакующий получает возможность запускать произвольные команды — например, открыть calc.exe или создать файл pwned.txt.

Для проверки уязвимости можно использовать команды npm list @react-native-community/cli-server-api и убедиться в используемой версии.

➡️Рекомендации
- Срочно обновить пакеты до версии 20.0.0 или выше, где уязвимость исправлена.
- Если обновление невозможно, запускать Metro сервер с привязкой к localhost (npx react-native start --host 127.0.0.1), чтобы заблокировать доступ извне.
- Проводить аудит зависимостей и сканирование цепочек поставок (SBOM) для выявления уязвимых версий и подозрительных модулей.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч