تم اكتشاف ثغرة أمنية خطيرة في مكونات خادم React-Server Components (RSC)، والتي يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عن بعد عند استغلالها بنجاح. تأتي هذه النتائج في وقت حرج بالنسبة لمطوري الويب، حيث تسلط الضوء على أهمية التحديثات الأمنية المستمرة.
وتم تعيين معرّف الثغرة بـ CVE-2025-55182، وهي تحمل درجة خطورة قصوى تبلغ 10.0 وفقًا لمقياس CVSS. تسمح هذه الثغرة للمهاجمين غير المصادق عليهم بتنفيذ تعليمات برمجية عن بعد عبر استغلال خلل في طريقة معالجة React للحمولات المرسلة إلى نقاط نهاية React Server Function.
ثغرة تنفيذ التعليمات البرمجية عن بعد في مكونات خادم React
تتيح هذه الثغرة الأمنية، التي تم الإعلان عنها مؤخرًا، للمهاجمين غير المصرح لهم إرسال طلبات HTTP خبيثة إلى أي نقطة نهاية Server Function. عند معالجتها بواسطة React، يمكن لهذه الطلبات أن تؤدي إلى تنفيذ تعسفي لتعليمات JavaScript البرمجية على الخادم.
حتى التطبيقات التي لا تنفذ نقاط نهاية React Server Function قد تكون عرضة للخطر إذا كانت تدعم مفهوم React Server Components بشكل عام. ويعود السبب في ذلك إلى طبيعة الثغرة التي تتعلق بمعالجة البيانات بشكل غير آمن.
البنية الفنية للثغرة
وفقًا لشركة أمن الحوسبة السحابية Wiz، فإن المشكلة تكمن في معالجة حمولات React Server Components بطريقة غير آمنة، مما يفتح الباب أمام ما يعرف بـ “إلغاء التسلسل المنطقي” (logical deserialization). هذا يسمح للمهاجم بصياغة طلبات خاصة لتنفيذ الكود.
وبحسب التقرير، يمكن للمهاجم غير المصادق عليه استغلال هذا الخلل عن بعد دون الحاجة إلى أي معرفة مسبقة للنظام. يتم ذلك عن طريق إرسال الحمولة الخبيثة التي يتم تفسيرها بشكل خاطئ من قبل React.
التداعيات والتطبيقات المتأثرة
تشمل الإصدارات المتأثرة من حزم npm الرئيسية: react-server-dom-webpack، وreact-server-dom-parcel، وreact-server-dom-turbopack. وتحديدًا، تؤثر الثغرة على الإصدارات 19.0، 19.1.0، 19.1.1، و19.2.0.
تم إصدار التحديثات اللازمة لهذه الثغرة في الإصدارات 19.0.1، 19.1.2، و19.2.1. وقد أُشيد بالباحث الأمني Lachlan Davidson من نيوزيلندا لاكتشافه هذه الثغرة وتقديم تقرير عنها.
تأثير الثغرة على Next.js والمكتبات الأخرى
من المهم الإشارة إلى أن Next.js، عند استخدامه مع App Router، يتأثر أيضًا بهذه الثغرة، وتم تخصيص معرّف CVE-2025-66478 لها بدرجة 10.0. تشمل الإصدارات المتأثرة قيمًا تبدأ من 14.3.0-canary.77 وما بعدها. تم تقديم الإصدارات المصححة مثل 16.0.7 و15.5.7.
بالإضافة إلى ذلك، فإن أي مكتبة تقوم بتضمين React Server Components من المرجح أن تكون عرضة لهذا الخلل. يشمل ذلك، على سبيل المثال لا الحصر، Vite RSC plugin، وParcel RSC plugin، وReact Router RSC preview، بالإضافة إلى RedwoodJS وWaku.
نصائح أمنية وإجراءات وقائية
أشارت شركة Wiz إلى أن حوالي 39% من البيئات السحابية لديها أنظمة قد تكون عرضة لهذه الثغرات الأمنية (CVE-2025-55182 و/أو CVE-2025-66478). نظرًا لخطورة الثغرة، يُنصح المستخدمون بتطبيق التحديثات والإصلاحات المتاحة في أسرع وقت ممكن لضمان حماية أمثل لأنظمتهم.
يمثل هذا الاكتشاف تذكيرًا بأهمية اليقظة المستمرة في مجال الأمن السيبراني، خاصة مع التطورات السريعة في تقنيات تطوير الويب. يجب على المطورين والشركات مراجعة سياساتهم الأمنية والتأكد من تطبيق أحدث التحديثات باستمرار.