ثغرة شديدة الخطورة في مكتبة React المستخدمة على نطاق واسع في JavaScript، والعديد من الأطر المستندة إلى React بما في ذلك”http://next.js” rel=”nofollow”>التالي.js يسمح للمهاجمين عن بعد غير المصادقين بتنفيذ تعليمات برمجية ضارة على الحالات الضعيفة. من السهل إساءة استغلال الخلل، كما أن استغلاله على نطاق واسع أمر سهل “imminent,” بحسب باحثين أمنيين.
فريق رد الفعل”_blank” rel=”nofollow” href=”https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components”> تم الكشف عنها ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) غير المصادق عليها في React Server Components يوم الأربعاء. يتم تعقبه على أنه”https://www.cve.org/CVERecord?id=CVE-2025-55182″ rel=”nofollow”>CVE-2025-55182 وحصلت على الحد الأقصى لتصنيف خطورة 10.0 CVSS.
يعد هذا أمرًا كبيرًا لأن معظم الإنترنت مبني على React، ويشير أحد التقديرات إلى أن 39 بالمائة من البيئات السحابية معرضة لهذا الخلل. لذلك، تستحق هذه المشكلة مكانًا بارزًا في قائمة مهامك.
يؤثر الخطأ على الإصدارات 19.0 و19.1.0 و19.1.1 و19.2.0 من:
كما أنه يؤثر أيضًا على التكوين الافتراضي للعديد من أطر عمل React وحزم التجميع بما في ذلك”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/next”>التالي,”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/react-router”> جهاز توجيه رد الفعل,”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/waku”> واكو,”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/@parcel/rsc”>@الطرود/rsc,”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/@vitejs/plugin-rsc”>@vitejs/plugin-rsc، و”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/rwsdk”>rwsdk.
يقول القائمون على المشروع الترقية إلى الإصدارات”_blank” rel=”nofollow” href=”https://github.com/facebook/react/releases/tag/v19.0.1″>19.0.1,”_blank” rel=”nofollow” href=”https://github.com/facebook/react/releases/tag/v19.1.2″>19.1.2، و”_blank” rel=”nofollow” href=”https://github.com/facebook/react/releases/tag/v19.2.1″>19.2.1 يصلح الخلل.
“We recommend upgrading immediately,” قال فريق React في تحذير أمني يوم الأربعاء.
“CVE-2025-55182 represents a major risk to users of one of the world’s most widely used web application frameworks,” قال بنجامين هاريس، المؤسس والرئيس التنفيذي لشركة WatchTowr لأدوات إدارة التعرض السجل. “Exploitation requires few prerequisites [and] there should be no doubt that in-the-wild exploitation is imminent as soon as attackers begin analyzing now-public patches.”
قام Vercel، المنشئ والمشرف الأساسي لـ Next.js، بتعيين CVE خاص به (“_blank” rel=”nofollow” href=”https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp”>CVE-2025-66478) للخلل، وأصدر”_blank” rel=”nofollow” href=”https://vercel.com/changelog/cve-2025-55182″> تنبيه والتصحيح يوم الأربعاء أيضا.
على الرغم من أنه ليس لدينا الكثير من التفاصيل حول الثغرة الأمنية، فإننا نعلم أنها تسيء استخدام خلل في كيفية قيام React بفك تشفير الحمولات المرسلة إلى نقاط نهاية React Server Function.
“An unauthenticated attacker could craft a malicious HTTP request to any Server Function endpoint that, when deserialized by React, achieves remote code execution on the server,” حذر التنبيه الأمني. “Further details of the vulnerability will be provided after the rollout of the fix is complete.”
اكتشف الباحث لاتشلان ديفيدسون الخلل وأبلغ شركة ميتا، التي أنشأت المشروع مفتوح المصدر، يوم السبت. عملت Meta مع فريق React لطرح تصحيح الطوارئ بسرعة بعد أربعة أيام فقط.
يتم استخدام React على نطاق واسع للغاية – تعتمد عليها Meta’s Facebook وInstagram وNetflix وAirbnb وShopify وHello Fresh وWalmart وAsana، كما يفعل الملايين من المطورين – وتعتمد العديد من أطر العمل على حزم React الضعيفة.
وبالتالي فإن هذا النوع من مكافحة التطرف العنيف يعرض الكثير من الإنترنت للخطر.
“Wiz data indicates that 39 percent of cloud environments contain instances of Next.js or React in versions vulnerable to CVE-2025-55182 and/or CVE-2025-66478,” صائدو التهديدات في متجر الأمن السحابي جيلي تيكوشينسكي وميراف بار ودانييل أمينوف”_blank” rel=”nofollow” href=”https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182″> قال يوم الاربعاء.
- تركت الأخطاء القديمة في الأداة مفتوحة المصدر كل السحابة الرئيسية عرضة للتعطيل
- تم الكشف عن اثنين من أخطاء Android 0-day وإصلاحها، بالإضافة إلى 105 أخطاء أخرى لتصحيحها
- أخيرًا، تتغلب شركة Fortinet على خطأ فادح في ميزة “جعلني مسؤولًا” في ظل الاستغلال النشط
- يعترف PostHog بأن Shai-Hulud 2.0 كان أكبر خطأ أمني على الإطلاق
ال”_blank” href=”https://www.theregister.com/2025/11/05/googles_32b_wiz_acquisition_its/”> الأعمال التجارية التي ستصبح مملوكة لشركة Google قريبًا جربت الخلل وأصلحته وأبلغت بذلك “exploitation of this vulnerability had high fidelity, with a near 100 percent success rate and can be leveraged to a full remote code execution.”
“Due to the high severity and the ease of exploitation, immediate patching is required,” أضاف الثلاثي.
في وقت الكتابة، السجل لم يتم العثور على أي تقارير عن الاستغلال في البرية. ومع ذلك، فمن الآمن الافتراض أن المجرمين يقومون بالفعل بإجراء هندسة عكسية للتصحيحات ويقومون بمسح الإنترنت بحثًا عن الحالات المكشوفة والضعيفة.
“Due to the widespread use of React and frameworks like Next.js that are built on top of it, this vulnerability is expected to draw significant attention,” قال ستيفن فيور، كبير الباحثين الرئيسيين في Rapid7 السجل.
“The chances of technical details and exploit code being made publicly available are high, so exploitation is likely to occur soon,” قال. “It is therefore critical to patch this vulnerability immediately.”
قد يرغب عملاء Cloudflare أيضًا في التعمق في معلومات الشركة”_blank” rel=”nofollow” href=”https://blog.cloudflare.com/waf-rules-react-vulnerability/”> المطالبة أن جدار حماية تطبيقات الويب (WAF) الخاص بها يحميهم من الخلل، إذا كانت حركة مرور تطبيق React الخاصة بهم يتم وكيلها من خلال WAF. ®