يكثف باحثو الأمن ومطورو البرمجيات جهودهم لمعالجة ثغرة أمنية حرجة تؤثر على React Server Components، وهي مكتبة مفتوحة المصدر تستخدم على نطاق واسع عبر الإنترنت ومدمجة في العديد من أطر العمل البرمجية الأساسية. تتضمن هذه الثغرة، التي تحمل الرقم CVE-2025-55182، خطورة بالغة نظراً لانتشار React الواسع، مما قد يعرض ملايين التطبيقات للخطر.
تم اكتشاف الثغرة بواسطة الباحث Lachlan Davidson، وتم إبلاغ Meta بها السبت الماضي. عملت Meta وفريق React بالتعاون مع مزودي الخدمات المتأثرين لإصلاح الخلل قبل الإعلان العام عنه الأربعاء. ويأتي هذا الاستجابة السريعة نظراً للتوقع بأن الهجمات السيبرانية ستستغل هذه الثغرة قريباً، على الرغم من عدم تسجيل أي هجمات حتى الآن.
تأثير ثغرة React Server Components الخطيرة
تعتبر React أحد أكثر أطر عمل التطبيقات استخداماً في العالم، مما يعني أن نسبة كبيرة من تطبيقات الويب قد تكون معرضة للخطر. تشير البيانات إلى أن هذه المكتبات موجودة في إصدارات ضعيفة في حوالي 39% من البيئات السحابية. هذا الانتشار الواسع يزيد من حجم التهديد المحتمل.
يحذر الباحثون من أن استغلال عيب فك التجزئة (deserialization) سهل للغاية. يمكن للمهاجمين غير المصرح لهم تنفيذ تعليمات برمجية عن بعد في التكوينات الافتراضية، مما قد يؤدي إلى رفع الامتيازات أو الانتقال إلى أجزاء أخرى من الشبكة. يمكن أن تكون العواقب وخيمة إذا تمكن المهاجمون من الوصول إلى مفاتيح الوصول أو الأسرار أو المعلومات الحساسة المخزنة على النظام.
مسؤولية Meta وفريق React
قبل الكشف العام عن الثغرة، عمل باحثو الأمن من Meta، التي أنشأت React، على إخطار المنظمات المتأثرة. كما تم مشاركة خطوات تخفيف مؤقتة، مثل قواعد جدار حماية تطبيقات الويب. أكدت Meta أنها تعمل على التحقيق في الثغرة وليس لديها دليل على استغلالها حالياً، لكنها تهدف إلى تنبيه المطورين لاتخاذ التدابير اللازمة بسرعة.
تأثيرات واسعة النطاق على أطر عمل متعددة
تؤثر هذه الثغرة على أطر عمل React ومجمعاتها المختلفة، بما في ذلك Next.js و React Router و Waku و Parcel RSC plugin و Vite RSC plugin و RedwoodJS، وغيرها. أصدرت Vercel، الشركة وراء Next.js، تحديثاً لمعالجة الثغرة التي اكتشفتها (CVE-2025-66478) بسبب اعتمادها على React Server Components. يتوقع الباحثون أن تطال التبعات أطر عمل ومكتبات أخرى تعتمد على React Server Components، مع استمرار التأثيرات على المدى الطويل في البيئات التي يصعب تحديثها.
من غير الواضح سبب تخصيص Vercel لمعرف CVE منفصل لـ Next.js، حيث أن السبب الجذري هو الثغرة الأصلية في React (CVE-2025-55182). ومع ذلك، قد تكون Vercel تتعقب التأثير على منتجها الخاص. يؤكد الخبراء أنه لا ينبغي الحاجة إلى تحديد CVE جديد لكل إطار عمل يعتمد على React طالما أن السبب الجذري هو نفسه.
الاستعداد للهجمات واستغلال الثغرة
حالياً، يستعد الصيادون السيبرانيون لاحتمالية الاستغلال النشط للثغرة. يتوقعون توفر التفاصيل التقنية وشفرات الاستغلال قريباً. مع اهتمام العالم بإيجاد حل لمكتبة تستخدم على نطاق واسع، من المتوقع أن ينجح أحد ما في استغلال هذه الثغرة. يتوقع الخبراء ظهور طرق سهلة لإعادة إنتاج الثغرة واستغلالها في وقت قريب جداً.