یک نقص امنیتی با حداکثر شدت در کتابخانه پرکاربرد جاوا اسکریپت React و چندین فریمورک مبتنی بر آن از جمله Next.js کشف شده که به مهاجمان غیرقابل احراز هویت اجازه میدهد کدهای مخرب را از راه دور اجرا کنند. کارشناسان امنیتی هشدار دادهاند که این آسیبپذیری React به راحتی قابل سوءاستفاده است و بهرهبرداری انبوه از آن "قریبالوقوع" خواهد بود. این رویداد، که تقریباً ۳۹ درصد از تمامی محیطهای ابری را در معرض خطر قرار میدهد، نیازمند اقدام فوری توسعهدهندگان و مدیران سیستم در سراسر جهان است.
آسیبپذیری بحرانی React: جزئیات فنی و شدت خطر
نقص امنیتی اخیر در React، که به عنوان CVE-2025-55182 شناسایی شده و دارای بالاترین امتیاز ۱۰.۰ در مقیاس استاندارد جهانی CVSS (Common Vulnerability Scoring System) است، امکان اجرای کد از راه دور (Remote Code Execution – RCE) را بدون نیاز به احراز هویت فراهم میکند. این آسیبپذیری React به طور خاص در مؤلفههای سرور React (React Server Components) کشف شده و به مهاجمان اجازه میدهد با ارسال درخواستهای HTTP مخرب به نقاط پایانی تابع سرور، کدهای دلخواه خود را روی سرور اجرا کنند.
این مشکل نسخههای 19.0، 19.1.0، 19.1.1 و 19.2.0 از ماژولهای زیر را تحت تأثیر قرار میدهد:
`react-server-dom-webpack`
`react-server-dom-parcel`
`react-server-dom-turbopack`
علاوه بر این، فریمورکها و باندلرهای محبوبی مانند Next.js، React Router، Waku، @parcel/rsc، @vitejs/plugin-rsc و rwsdk نیز در پیکربندی پیشفرض خود به این آسیبپذیری React حساس هستند. تیم React و Vercel، سازنده اصلی Next.js، به سرعت برای انتشار وصلههای اضطراری اقدام کردهاند.
گستره نگرانکننده آسیبپذیری React در محیطهای ابری
با توجه به اینکه React یکی از پرکاربردترین کتابخانههای جاوا اسکریپت در جهان است و بخش عظیمی از زیرساخت اینترنت و بسیاری از برنامههای وب مدرن را تشکیل میدهد، دامنه این آسیبپذیری React بسیار گسترده و نگرانکننده است. شرکتهای بزرگی نظیر فیسبوک، اینستاگرام، نتفلیکس، Airbnb، Shopify، Hello Fresh، Walmart و Asana از React در مقیاس وسیع استفاده میکنند.
بر اساس تحلیلهای شرکت امنیت ابری Wiz، حدود ۳۹ درصد از تمامی محیطهای ابری در سراسر جهان حاوی نسخههای آسیبپذیر Next.js یا React هستند که در معرض CVE-2025-55182 و یا CVE-2025-66478 قرار دارند. این آمار نشان میدهد که میلیونها توسعهدهنده و سازمان در سراسر جهان باید به سرعت برای رفع این مشکل اقدام کنند. کارشناسان امنیتی شرکت Wiz که روی این نقص آزمایش کردهاند، تأیید کردهاند که بهرهبرداری از این آسیبپذیری React دارای دقت بالایی بوده و نرخ موفقیت آن تقریباً ۱۰۰ درصد است که میتواند به اجرای کد از راه دور کامل منجر شود.
اقدامات فوری و توصیههای امنیتی برای مقابله با آسیبپذیری React
تیم React و متخصصان امنیتی به شدت توصیه میکنند که کاربران React و فریمورکهای وابسته، هرچه سریعتر سیستمهای خود را بهروزرسانی کنند. وصلههای امنیتی برای رفع این آسیبپذیری React در نسخههای زیر منتشر شدهاند:
React: ارتقا به نسخههای 19.0.1، 19.1.2 و 19.2.1
Next.js: ارتقا به آخرین نسخه وصلهشده (Vercel یک CVE جداگانه با شناسه CVE-2025-66478 برای Next.js اختصاص داده است.)
این اقدام حیاتی است؛ زیرا کارشناسان هشدار میدهند به محض اینکه مهاجمان شروع به تجزیه و تحلیل وصلههای عمومی کنند، به احتمال زیاد با مهندسی معکوس، آسیبپذیری را درک کرده و به دنبال شناسایی و بهرهبرداری از سیستمهای وصلهنشده خواهند بود. در حال حاضر گزارشی از بهرهبرداری این آسیبپذیری React در دنیای واقعی منتشر نشده است، اما پیشبینی میشود این وضعیت به زودی تغییر کند.
<b>توصیههای کلیدی برای محافظت در برابر آسیبپذیری React:</b>
بروزرسانی فوری: بدون هیچ تأخیری، تمامی نسخههای آسیبپذیر React و فریمورکهای مرتبط را به آخرین نسخههای ایمن ارتقا دهید.
پایش فعال: سیستمهای خود را برای هرگونه فعالیت مشکوک یا تلاش برای بهرهبرداری از این آسیبپذیری React به دقت پایش کنید.
استفاده از WAF: مشتریان Cloudflare میتوانند با استفاده از فایروال برنامه وب (WAF) این شرکت، لایه حفاظتی اضافی را فعال کنند، البته به شرطی که ترافیک برنامه React آنها از طریق WAF پروکسی شود.
کشف این آسیبپذیری React توسط محققی به نام لاچلان دیویدسون در شنبه گذشته و واکنش سریع تیم Meta و React در انتشار وصله در عرض چهار روز، نمونهای از اهمیت همکاری جامعه متنباز در حفظ امنیت سایبری است. اما با توجه به ماهیت بحرانی این نقص و سهولت اکسپلویت، زمان برای تأخیر نیست و اقدامات پیشگیرانه باید بلافاصله انجام شوند تا از وقوع حملات گسترده جلوگیری شود.
مطالب مرتبط
- TLS 1.3: گامی رو به جلو در امنیت، اما چالش کلیدهای طولانیمدت همچنان پابرجاست
- ادعای جنجالی گروه Everest: هک ایسوس و سرقت یک ترابایت اطلاعات حساس
- بازگشت خطرناک باتنت تسوندره: کسپرسکی جزئیات روشهای نوین آلودهسازی و زیرساخت بلاکچینی آن را افشا کرد
- شرکت Zecurion یافتههای آسیبپذیری DLP در گزارش رجاء را به چالش کشید
