كشفت فرق أمنية عن ثغرة بالغة الخطورة في React Server Components (RSC) تحمل الرمز CVE-2025-55182 وتقييم خطورة 10.0، ما يجعلها من أخطر الثغرات المكتشفة مؤخرًا. الثغرة، التي أُطلق عليها اسم React2shell، تتيح للمهاجمين تنفيذ تعليمات برمجية خبيثة عن بُعد دون الحاجة إلى تسجيل دخول، عبر استغلال طريقة معالجة React للبيانات المرسلة إلى نقاط نهاية Server Function.
تفاصيل الثغرة وأسبابها
المشكلة ناتجة عن عدم أمان في عملية فك التسلسل (deserialization) ضمن بروتوكول React Flight، حيث يمكن للمهاجم إرسال طلب HTTP مُصمم خصيصًا يؤدي إلى تنفيذ تعليمات JavaScript على الخادم. حتى التطبيقات التي لا تستخدم نقاط نهاية Server Function قد تكون معرضة للخطر إذا كانت تدعم React Server Components. الباحث الأمني النيوزيلندي Lachlan Davidson اكتشف الثغرة وأبلغ عنها في نوفمبر 2025، وتم إصلاحها في الإصدارات 19.0.1، 19.1.2، و19.2.1 من الحزم التالية:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
تأثيرات على Next.js وأطر أخرى
الثغرة تؤثر أيضًا على Next.js باستخدام App Router، حيث تم رصدها في الإصدارات >=14.3.0-canary.77، >=15، و>=16، وتم إصلاحها في إصدارات متعددة مثل 16.0.7 و15.5.7. أي مكتبة تعتمد على RSC معرضة للخطر، بما في ذلك Vite RSC plugin، Parcel RSC plugin، RedwoodJS، Waku وغيرها. الخطورة تكمن في أن الاستغلال لا يتطلب إعدادات خاصة أو تسجيل دخول، بل يكفي أن يكون المهاجم قادرًا على إرسال طلبات HTTP إلى الخادم.
حجم الاستهداف والإجراءات الوقائية
وفقًا لشركة Wiz، فإن 39% من بيئات السحابة تحتوي على نسخ معرضة لهذه الثغرة، بينما حددت Palo Alto Networks أكثر من 968,000 خادم يستخدم React وNext.js، ما يفتح سطح هجوم واسع أمام المهاجمين. شركات البنية التحتية مثل Cloudflare، Akamai، AWS، Fastly، Google Cloud نشرت قواعد حماية عبر جدران حماية التطبيقات (WAF) للتصدي للثغرة. حتى يتم تطبيق التحديثات، يُوصى بـ:
- نشر قواعد WAF لمراقبة وحجب الطلبات المشبوهة.
- مراقبة حركة HTTP بحثًا عن طلبات غير طبيعية.
- تقييد الوصول مؤقتًا إلى التطبيقات المتأثرة.
خطورة غير مسبوقة
الباحثون وصفوا الثغرة بأنها “مفتاح رئيسي” يسمح بتنفيذ التعليمات الخبيثة بنفس موثوقية التعليمات الشرعية، لأنها تستغل ثقة النظام في البيانات الواردة. هذا يجعلها تهديدًا بالغ الخطورة يتطلب استجابة عاجلة من المطورين ومديري الأنظمة.
