- ثغرة خطيرة في React (CVE-2025-55182) تتيح المصادقة المسبقة لـ RCE في مكونات React Server
- يؤثر على الإصدارات 19.0–19.2.0 وأطر العمل مثل Next وReact Router وVite؛ تم إصدار التصحيحات في 19.0.1 و19.1.2 و19.2.1
- ويحذر الخبراء من أن الاستغلال وشيك بنسبة نجاح تقترب من 100%؛ ينصح بشدة ترقيات عاجلة
تُعد React واحدة من مكتبات JavaScript الأكثر شيوعًا، والتي تعمل على تشغيل جزء كبير من الإنترنت اليوم. اكتشف الباحثون مؤخرًا ثغرة أمنية ذات خطورة قصوى. قد يسمح هذا الخطأ حتى للجهات الفاعلة ذات المهارات المنخفضة بتنفيذ تعليمات برمجية ضارة (RCE) في الحالات الضعيفة.
في وقت سابق من هذا الأسبوع، نشر فريق React إرشادات أمنية جديدة توضح بالتفصيل خطأ المصادقة المسبقة في إصدارات متعددة من حزم متعددة، مما يؤثر على مكونات React Server. تشمل الإصدارات المتأثرة 19.0، و19.1.0، و19.1.1، و19.2.0 من React-server-dom-webpack، وreact-server-dom-parcel، وreact-server-dom-turbopack.
يتم الآن تتبع الخطأ باسم CVE-2025-55182، وتم منحه درجة خطورة تبلغ 10/10 (حرجة).
الاستغلال وشيك – لا شك في ذلك
وقيل إن التكوينات الافتراضية لأطر عمل React المتعددة وحزمها تتأثر أيضًا بهذا الخطأ، بما في ذلك next، وreact-router، وwaku، و@parcel/rsc، و@vitejs/plugin-rsc، وrwsdk.
الإصدارات التي عالجت الخطأ هي 19.0.1 و19.1.2 و19.2.1، وتحث React جميع المستخدمين على تطبيق الإصلاح في أقرب وقت ممكن. وقال فريق React: “نوصي بالترقية على الفور”.
وفق السجلتعمل React على تشغيل ما يقرب من اثنين من كل خمسة من جميع البيئات السحابية، وبالتالي فإن سطح الهجوم كبير، بعبارة ملطفة. يعتمد كل من Facebook وInstagram وNetflix وAirbnb وShopify وغيرهم من عمالقة الويب اليوم على React – بالإضافة إلى ملايين المطورين الآخرين.
صرح بنجامين هاريس، المؤسس والرئيس التنفيذي لشركة watchTowr، بائع أدوات إدارة التعرض، للنشر أنه سيتم استغلال الخلل “بلا شك” في البرية. في الواقع، يعتقد أن سوء المعاملة “وشيك”، خاصة الآن بعد نشر الاستشارة.
تمكن Wiz من اختبار الخطأ وقال إن “استغلال هذه الثغرة الأمنية كان يتمتع بدقة عالية، مع معدل نجاح يقترب من 100% ويمكن الاستفادة منه في تنفيذ التعليمات البرمجية عن بعد بشكل كامل”.
بمعنى آخر، الآن ليس الوقت المناسب للتراخي – فتصحيح هذا الخلل يجب أن يكون الأولوية الأولى للجميع.
عبر السجل
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات