تتزايد الاستغلالات النشطة لثغرة React2Shell، المسماة CVE-2025-55182، من قبل مجموعات تهديد مرتبطة بالصين، وذلك في غضون ساعات قليلة من الكشف عنها علناً. تتيح هذه الثغرة، التي تؤثر على مكونات خادم React، للمهاجمين تنفيذ تعليمات برمجية دون الحاجة لتسجيل الدخول.
شهدت تطبيقات React و Next.js المتصلة بالإنترنت عمليات مسح واسعة النطاق، مع تركيز خاص على أعباء العمل السحابية ذات القيمة العالية. تم الكشف عن هذه المعلومات من قبل محللي الأمن في AWS، الذين رصدوا حركة استغلال الثغرة في شبكة MadPot الخاصة بهم.
مجموعات تهديد صينية تستغل ثغرة React2Shell
تتعلق حركة المرور المرصودة بمجموعات تهديد مرتبطة بالصين، مثل Earth Lamia و Jackpot Panda، والتي أظهرت اختبارات نشطة لرمز الاستغلال العام المتاح ضد تطبيقات حقيقية. تظهر بعض هذه المجموعات استثمار وقت طويل في ضبط حمولات الاستغلال، وتجربة أوامر مثل “whoami” و “id”، بالإضافة إلى محاولات كتابة وقراءة الملفات.
تؤثر هذه الثغرة الأمنية، المسماة React2Shell، على React 19.x و Next.js 15.x و 16.x عند استخدام ميزة “App Router”. يثير الأمر قلقاً خاصاً للتطبيقات التي تعتمد على أحدث مكدسات React ولكنها لم تقم بتطبيق التحديثات الأمنية اللازمة بعد.
تفاصيل الثغرة وتأثيراتها
وفقاً للتقرير، فإن الثغرة تؤدي إلى تنفيذ تعليمات برمجية عن بعد على الخادم دون الحاجة إلى مصادقة. تبدأ الهجمة عادةً بطلب POST مُصمم خصيصاً إلى نقطة نهاية مكونات خادم React. يحتوي جسم الطلب على حمولة “إجراء” مزيفة تستغل خطوة إلغاء التسلسل غير الآمنة لحقن JavaScript على الخادم.
على الرغم من أن العديد من أدوات الاستغلال العامة قد تكون غير مكتملة، إلا أن المهاجمين يواصلون إطلاقها على نطاق واسع، مما يولد ضوضاء في السجلات ويصعب إخفاء سلاسل الاستغلال الناجحة.
في هذا السياق، قام خبراء الأمن في AWS بتطوير دفاعات جديدة ودفع قواعد مُدارة محدثة لـ AWS WAF. ومع ذلك، حذروا من أن هذه الطبقات الدفاعية لا تلغي الحاجة إلى التصحيح السريع للتطبيقات التي يتم تشغيلها على EC2، أو الحاويات، أو المضيفات المحلية.
الوقاية والتصدي
يُنصح الفرق الأمنية بالبحث عن هذه الرؤوس وأنماط الطلبات، بالإضافة إلى أي عمليات فرعية غير عادية ناتجة عن Node.js. يمكن لهذه العلامات أن تشير إلى محاولات استغلال نشطة، مما يساعد المستجيبين للحوادث على إجراء مراجعات سريعة.
تُصنف الثغرة، التي تحمل المعرف CVE-2025-55182، على أنها خطيرة جداً (CVSS 10.0)، مما يؤكد على أهمية سرعة الاستجابة لتطبيق الحلول الأمنية اللازمة. يمتد التأثير ليشمل تطبيقات React و Next.js التي تستخدم ميزة App Router، والتي تعد عنصراً شائعاً في تطوير الويب الحديث.