كتب أحد الباحثين: “عادةً لا أقول هذا، لكن تصحيح الأمر الآن أمر غريب”. “قائمة React CVE (CVE-2025-55182) هي رقم 10 مثالي.”
تحتوي إصدارات React 19.0.1 أو 19.1.2 أو 19.2.1 على التعليمات البرمجية الضعيفة. تتضمن مكونات الطرف الثالث المعروفة بتأثرها ما يلي:
- فايت RSC البرنامج المساعد
- البرنامج المساعد لا يتجزأ RSC
- رد فعل معاينة جهاز التوجيه RSC
- ريدوودSDK
- واكو
- Next.js
وفقًا لـ Wiz وشركة الأمن Aikido، فإن الثغرة الأمنية، التي تم تتبعها باسم CVE-2025-55182، موجودة في Flight، وهو بروتوكول موجود في React Server Components. قام Next.js بتعيين التصنيف CVE-2025-66478 لتتبع الثغرة الأمنية في حزمته.
تنبع الثغرة الأمنية من إلغاء التسلسل غير الآمن، وعملية الترميز لتحويل السلاسل، وتدفقات البايت، وغيرها من التنسيقات “المتسلسلة” إلى كائنات أو هياكل بيانات في التعليمات البرمجية. يمكن للمتسللين استغلال عملية إلغاء التسلسل غير الآمنة باستخدام الحمولات التي تنفذ تعليمات برمجية ضارة على الخادم. تتضمن إصدارات React المصححة تحققًا أكثر صرامة وسلوكًا متشددًا لإلغاء التسلسل.
وأوضح ويز: “عندما يتلقى الخادم حمولة مشوهة معدة خصيصًا، فإنه يفشل في التحقق من صحة البنية بشكل صحيح”. “يسمح هذا للبيانات التي يتحكم فيها المهاجم بالتأثير على منطق التنفيذ من جانب الخادم، مما يؤدي إلى تنفيذ تعليمات برمجية JavaScript مميزة.”
وأضافت الشركة:
في تجربتنا، كان استغلال هذه الثغرة الأمنية يتمتع بدقة عالية، مع معدل نجاح يقارب 100% ويمكن الاستفادة منه في تنفيذ التعليمات البرمجية عن بعد بشكل كامل. ناقل الهجوم غير مصادق عليه وبعيد، ولا يتطلب سوى طلب HTTP معد خصيصًا للخادم الهدف. إنه يؤثر على التكوين الافتراضي للأطر الشائعة.
تنصح كلتا الشركتين المسؤولين والمطورين بترقية React وأي تبعيات تعتمد عليها. يجب على مستخدمي أي من الأطر والمكونات الإضافية التي تم تمكينها عن بعد المذكورة أعلاه مراجعة المشرفين للحصول على التوجيه. يقترح Aikido أيضًا على المسؤولين والمطورين فحص قواعد التعليمات البرمجية والمستودعات الخاصة بهم بحثًا عن أي استخدام لـ React باستخدام هذا الرابط.
