إذا كنت تقوم بتشغيل React Server Components، فلن تتمكن من الحصول على فترة راحة. بالإضافة إلى العيوب التي تم الإبلاغ عنها بالفعل، تسمح الأخطاء المكتشفة حديثًا للمهاجمين بتعليق الخوادم الضعيفة واحتمالية تسريب الكود المصدري لوظيفة الخادم، لذا يجب على أي شخص يستخدم RSC أو أطر العمل التي تدعمه تصحيحه بسرعة.
ال”_blank” rel=”nofollow” href=”https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components”> أحدث نقاط الضعف – تم تعقب اثنين من الأخطاء شديدة الخطورة المتعلقة برفض الخدمة”_blank” rel=”nofollow” href=”https://www.cve.org/CVERecord?id=CVE-2025-55184″>CVE-2025-55184 و”_blank” rel=”nofollow” href=”https://www.cve.org/CVERecord?id=CVE-2025-67779″>CVE-2025-67779 (CVSS 7.5)، وتم تتبع عيب التعرض لرمز المصدر كـ”_blank” rel=”nofollow” href=”https://www.cve.org/CVERecord?id=CVE-2025-55183″>CVE-2025-55183 (CVSS 5.3) – تم العثور عليها من قبل باحثين أمنيين يحاولون إحداث ثغرات في التصحيح لثغرة React ذات الخطورة القصوى السابقة والتي”_blank” href=”https://www.theregister.com/2025/12/12/vulnerable_react_instances_unpatched/”>تحت الاستغلال النشط.
CVE-2025-55182، يطلق على الثغرة الأمنية من جانب خادم React اسم “React2Shell” تم الكشف عنها وتصحيحها في 3 ديسمبر، مما يسمح بذلك”_blank” href=”https://www.theregister.com/2025/12/05/aws_beijing_react_bug/”> تنفيذ التعليمات البرمجية عن بعد (RCE)ويتتبع الباحثون ما لا يقل عن 15 مجموعة اقتحام متميزة خلال الـ 24 ساعة الماضية وحدها.
يمكن استغلال أخطاء رفض الخدمة عالية الخطورة (CVE-2025-55184 وCVE-2025-67779) عن طريق إرسال طلب HTTP مصمم خصيصًا إلى أي نقطة نهاية لوظيفة الخادم، مما يتسبب في حدوث حلقة لا نهائية تؤدي إلى تعليق عملية الخادم واستهلاك وحدة المعالجة المركزية.
“This creates a vulnerability vector where an attacker may be able to deny users from accessing the product, and potentially have a performance impact on the server environment,” وفقًا لفريق React.
الباحثون”_blank” rel=”nofollow” href=”https://ryotak.net/”> ريوتاك وShinsaku Nomura عثرا على أخطاء DoS وأبلغا عنها إلى Meta، التي أنشأت المكتبة مفتوحة المصدر.
تتطلب CVE-2025-55183، وهي ثغرة تعرض التعليمات البرمجية المصدر متوسطة الخطورة، وجود وظيفة خادم محددة تكشف بشكل صريح أو ضمني وسيطة تم تحويلها إلى تنسيق سلسلة.
ولكن بافتراض وجود هذه الثغرة الأمنية، فمن الممكن إساءة استغلال هذه الثغرة عبر طلب HTTP ضار لتسريب الأسرار المشفرة في التعليمات البرمجية المصدر. أسرار وقت التشغيل – مثلprocess.env.SECRET – لا تتأثر.
رد الفعل الفضل”_blank” rel=”nofollow” href=”https://github.com/AndrewMohawk”> أندرو ماكفيرسون مع العثور على هذا الخلل في تسرب الأسرار.
- تبقى نصف خوادم React المكشوفة دون إصلاحات وسط الاستغلال النشط
- يلقي Cloudflare باللوم على انقطاع الخدمة يوم الجمعة بسبب الإصلاح الفاشل لـ React2shell vuln
- تحذر AWS من أن المتسللين المرتبطين ببكين يهاجمون خطأ React شديد الخطورة
- “الاستغلال وشيك” حيث أن 39 بالمائة من البيئات السحابية بها ثغرة رد فعل شديدة الخطورة
توجد جميع التهديدات CVE الثلاثة الجديدة في نفس الحزم والإصدارات مثل CVE-2025-55182. هذه هي الإصدارات 19.0.0، 19.0.1، 19.0.2، 19.1.0، 19.1.1، 19.1.2، 19.2.0، 19.2.1، و19.2.2 من”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/react-server-dom-webpack”> رد فعل خادم دوم-webpack,”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/react-server-dom-parcel”> رد فعل خادم دوم الطرود، و”_blank” rel=”nofollow” href=”https://www.npmjs.com/package/react-server-dom-turbopack?activeTab=readme”> رد فعل الخادم دوم-turbopack.
ومن الجدير بالذكر أن الإصدارات السابقة من React2Shell لا تزال عرضة لهذه الأخطاء الجديدة.
“If you already updated for the Critical Security Vulnerability last week, you will need to update again,” بحسب التنبيه الأمني الذي صدر يوم الخميس. “إذا قمت بالتحديث إلى 19.0.2 و19.1.3 و19.2.2،”_blank” rel=”nofollow” href=”https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components#additional-fix-published”>these are incomplete and you will need to update again.”
تأثرت أكثر من 50 مؤسسة في قطاعات متعددة ببرنامج React2Shell، اعتبارًا من يوم الأربعاء، وفقًا للوحدة 42 من شركة Palo Alto Networks، مع”_blank” rel=”nofollow” href=”https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/”>مهاجمون من كوريا الشمالية والصين استغلال الخلل.
في تنبيه يوم الجمعة، تحالف متجر الأمن والتأمين السيبراني (كما لاحظ باحثون آخرون أيضًا)”_blank” rel=”nofollow” href=”https://www.coalitioninc.com/blog/security-labs/react2shell-mobilization”> يشبه React2Shell إلى 2021″_blank” href=”https://www.theregister.com/2023/12/11/log4j_vulnerabilities/”> ثغرة Log4Shell (CVE-2021-44228)، مما أدى إلى مئات من هجمات برامج الفدية. ®