أصدر فريق React تحديثات لمعالجة ثغرتين أمنيتين جديدتين في React Server Components (RSC)، قد تؤدي الثغرات، في حال استغلالها، إلى تعطيل الخدمة (DoS) أو كشف شفرة المصدر.
جاء اكتشاف هذه الثغرات الأمنية الجديدة من قبل مجتمع البحث الأمني أثناء محاولاتهم لاستغلال الثغرات التي تم إصلاحها سابقاً، ومن أبرزها CVE-2025-55182، وهي ثغرة حرجة في RSC تم استغلالها بالفعل في بيئات حقيقية.
ثغرات React Server Components الأمنية
تتعلق الثغرات المكتشفة، والتي تحمل الرموز CVE-2025-55184 و CVE-2025-67779 و CVE-2025-55183، بمخاوف تتعلق بتعرض الخدمة وكشف المعلومات.
ثغرات تعطيل الخدمة
تُصنف الثغرتان CVE-2025-55184 و CVE-2025-67779 على أنهما ثغرات تعطيل خدمة (DoS) ما قبل المصادقة، وتنشأ عن عدم أمان عملية فك تسلسل البيانات (deserialization) لحمولات طلبات HTTP المرسلة إلى نقاط نهاية Server Function. يمكن أن يؤدي هذا الاستغلال إلى حلقة لا نهائية تعلق عملية الخادم، مما يمنع معالجة الطلبات المستقبلية.
وقد تم تصنيف هاتين الثغرتين بدرجة خطورة 7.5 على مقياس CVSS، مما يشير إلى أنهما تشكلان تهديداً مهماً إذا لم يتم إصلاحهما في الوقت المناسب. تم الإبلاغ عن هاتين الثغرتين من قبل الباحثين الأمنيين RyotaK و Shinsaku Nomura عبر برنامج Meta Bug Bounty.
ثغرة كشف المعلومات
أما الثغرة CVE-2025-55183، والتي تحمل درجة خطورة 5.3 على مقياس CVSS، فتتعلق بكشف المعلومات. يمكن للمهاجم إرسال طلب HTTP مصمم خصيصاً إلى Server Function معرض للخطر، مما قد يؤدي إلى إرجاع شفرة المصدر لأي Server Function متاحة. يتطلب استغلال هذه الثغرة تحديداً وجود Server Function تكشف بشكل صريح أو ضمني عن وسيط (argument) تم تحويله إلى صيغة نصية.
وقد تم الإقرار بفضل الباحث الأمني Andrew MacPherson في الإبلاغ عن هذه الثغرة المتعلقة بكشف المعلومات.
تأثير الثغرات وإصدارات React المتأثرة
تؤثر هذه الثغرات على إصدارات محددة من react-server-dom-parcel، و react-server-dom-turbopack، و react-server-dom-webpack.
الإصدارات المتأثرة
تتعلق الثغرتان CVE-2025-55184 و CVE-2025-55183 بالإصدارات: 19.0.0، 19.0.1، 19.1.0، 19.1.1، 19.1.2، 19.2.0، و 19.2.1. أما الثغرة CVE-2025-67779، فتؤثر على الإصدارات: 19.0.2، 19.1.3، و 19.2.2.
يُنصح بشدة للمستخدمين بتحديث تطبيقاتهم فوراً إلى الإصدارات 19.0.3، 19.1.4، و 19.2.3 لتجنب أي استغلال محتمل، خاصة في ظل الاستكشاف النشط للثغرة CVE-2025-55182.
توصيات فريق React
أوضح فريق React أن الكشف عن ثغرة أمنية حرجة غالباً ما يدفع الباحثين إلى فحص مسارات الكود المجاورة بحثاً عن تقنيات استغلال بديلة لاختبار فعالية التخفيفات الأولية. وأشار الفريق إلى أن هذا النمط شائع في صناعة الأمان، وأن الإفصاحات الإضافية، رغم إحباطها أحياناً، غالباً ما تكون علامة على دورة استجابة صحية للتحديات الأمنية.