أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن إضافة ثغرة أمنية حرجة تؤثر على مكونات خادم React (RSC) إلى كتالوج الثغرات المستغلة المعروفة، وذلك بعد رصد استغلالها بشكل نشط في البرية. وتُعرف هذه الثغرة بالرمز CVE-2025-55182، وتتيح تنفيذ تعليمات برمجية عن بعد.
تكشف هذه الخطوة التحذيرية عن مدى خطورة الثغرة التي يمكن لمهاجم غير مصادق الوصول إليها وتنفيذها دون الحاجة لأي إعدادات مسبقة. وقد تم تتبع الثغرة أيضاً تحت اسم React2Shell، وتشير التقارير إلى أن استغلالها قد بدأ بالفعل.
ثغرة React2Shell: تفاصيل وأبعاد (CVE-2025-55182)
وفقاً لبيان صادر عن CISA، فإن مكونات خادم React تحتوي على ثغرة تنفيذ تعليمات برمجية عن بعد، والتي تسمح للمهاجمين غير المصادق عليهم بتنفيذ تعليمات برمجية بشكل مخادع من خلال استغلال خلل في طريقة فك تشفير React للحمولات المرسلة إلى نقاط نهاية وظائف خادم React.
تنبع المشكلة الأساسية من عدم أمان عملية إزالة التسلسل (deserialization) في بروتوكول Flight الخاص بالمكتبة. يستخدم React هذا البروتوكول للتواصل بين الخادم والعميل. ونتيجة لذلك، يمكن للمهاجم عن بعد وغير المصادق عليه تنفيذ أوامر عشوائية على الخادم عبر إرسال طلبات HTTP مصممة خصيصاً.
آلية الاستغلال والتأثير
صرح مارتن زوتشيك، مدير الحلول التقنية في Bitdefender: “تُعتبر عملية تحويل النص إلى كائنات من بين أخطر فئات الثغرات البرمجية. تكمن ثغرة React2Shell في حزمة react-server، وتحديداً في كيفية تحليلها لمراجع الكائنات أثناء عملية إزالة التسلسل.”
وقد تم معالجة هذه الثغرة في الإصدارات 19.0.1، 19.1.2، و 19.2.1 للم كتبت التالية: react-server-dom-webpack، react-server-dom-parcel، و react-server-dom-turbopack.
بالإضافة إلى ذلك، تتأثر بعض الأطر التي تعتمد على React بشكل مباشر، وتشمل هذه الأطر: Next.js، React Router، Waku، Parcel، Vite، و RedwoodSDK.
الاستغلال النشط والجهات الفاعلة
جاء هذا التطور بعد أن أبلغت أمازون عن رصد محاولات هجوم انطلقت من بنى تحتية مرتبطة بمجموعات قراصنة صينية مثل Earth Lamia و Jackpot Panda، وذلك في غضون ساعات قليلة من الكشف العلني عن الثغرة. كما أفادت شركات أخرى مثل Coalition، Fastly، GreyNoise، VulnCheck، و Wiz برصد جهود استغلال تستهدف الثغرة، مما يشير إلى تورط جهات فاعلة متعددة تقوم بهجمات انتهازية.
تضمنت بعض الهجمات نشر برامج لتعدين العملات المشفرة، بالإضافة إلى تنفيذ أوامر PowerShell للتحقق من نجاح الاستغلال، تليها أوامر لإسقاط برنامج استرجاع حمولات إضافية من خادم القيادة والتحكم الخاص بالمهاجم.
النطاق المحتمل للتأثير
وفقاً لبيانات صادرة عن منصة إدارة سطح الهجوم Censys، هناك ما يقرب من 2.15 مليون خدمة معرضة للإنترنت قد تكون متأثرة بهذه الثغرة. يشمل ذلك خدمات الويب المكشوفة التي تستخدم مكونات خادم React، والحالات المكشوفة لأطر عمل مثل Next.js، Waku، React Router، و RedwoodSDK.
من جانبها، أكدت وحدة Palo Alto Networks Unit 42 أنها رصدت أكثر من 30 منظمة متأثرة عبر قطاعات متعددة، وشهدت مجموعة واحدة من الأنشطة تطابقاً مع مجموعة قراصنة صينية تُعرف باسم UNC5174. تميزت الهجمات بنشر أدوات مثل SNOWLIGHT و VShell.
وفي هذا السياق، صرح جاستن مور، مدير أبحاث استخبارات التهديدات في Palo Alto Networks Unit 42: “رصدنا عمليات مسح للثغرات القابلة للتنفيذ عن بعد، ونشاط استطلاع، ومحاولات لسرقة ملفات تكوين وبيانات الاعتماد الخاصة بـ AWS، بالإضافة إلى تثبيت برامج استرجاع للحمولات من البنية التحتية للمهاجمين.”
وقد قام الباحث الأمني لاتشان دافيدسون، الذي يُنسب إليه اكتشاف الثغرة والإبلاغ عنها، بنشر العديد من نماذج الاستغلال (PoC). لذلك، أصبح من الضروري جداً أن يقوم المستخدمون بتحديث أنظمتهم إلى أحدث الإصدارات في أقرب وقت ممكن. كما نشر باحث تايواني آخر يعمل تحت اسم GitHub maple3142 نموذج استغلال فعال.
عملاً بالتوجيه التشغيلي الملزم (BOD) 22-01، أمام الوكالات الفيدرالية المدنية التنفيذية حتى 26 ديسمبر 2025 لتطبيق التحديثات الضرورية لتأمين شبكاتها.