تحذير عاجل: ثغرة خطيرة في React Server Components تهدد تطبيقات الخادم بدرجة 10/10

تحذير عاجل يتردد صداه في أوساط المطورين: “عادة لا أقول هذا، لكن قم بالتحديث الآن فورًا!”، كتب أحد الباحثين، مضيفًا أن “قائمة ثغرات React (CVE-2025-55182) تحمل تصنيف 10/10 مثالي.” هذا التقييم الصارخ يضع الثغرة في خانة الأشد خطورة، مطالبًا بتحرك سريع وحاسم.

تكمن الثغرة في الإصدارات 19.0.0، 19.1.0، 19.1.1، و19.2.0 من React. كما تتأثر بها مكونات طرف ثالث معروفة، تشمل:

• Vite RSC plugin
• Parcel RSC plugin
• React Router RSC preview
• RedwoodSDK
• Waku
• Next.js

وفقًا لشركتي الأمن Wiz وAikido، تكمن هذه الثغرة، التي تُعرف بالمعرف CVE-2025-55182، ضمن بروتوكول Flight الموجود في مكونات React Server Components. من جانبها، خصصت Next.js المعرف CVE-2025-66478 لتتبع الثغرة في حزمتها الخاصة.

ينبع الخلل من عملية إلغاء تسلسل غير آمنة (unsafe deserialization)، وهي عملية تحويل السلاسل النصية وتدفقات البايت وغيرها من التنسيقات “المتسلسلة” إلى كائنات أو هياكل بيانات قابلة للاستخدام في التعليمات البرمجية. يمكن للمهاجمين استغلال هذا الضعف عبر حمولات مصممة خصيصًا لتنفيذ تعليمات برمجية خبيثة على الخادم. تحدٍ أمني خطير يواجه منظومة تطوير الويب الحديثة، ويتطلب يقظة فورية من الجميع.

الإصدارات المُحدّثة من React هي 19.0.1+، 19.1.2+، و19.2.1. هذه التحديثات تتضمن آليات تحقق أكثر صرامة وسلوكًا معززًا لإلغاء التسلسل.

شرحت Wiz آلية الهجوم قائلة: “عندما يستقبل الخادم حمولة مصممة بشكل خاص وغير صحيحة، فإنه يفشل في التحقق من بنيتها بشكل صحيح. هذا يسمح للبيانات التي يتحكم فيها المهاجم بالتأثير على منطق التنفيذ من جانب الخادم، مما يؤدي إلى تنفيذ تعليمات برمجية JavaScript بامتيازات عالية.”

توصي الشركتان، Wiz وAikido، مديري الأنظمة والمطورين بترقية React وأي تبعيات تعتمد عليها. يجب على مستخدمي أي من الأطر والمكونات الإضافية التي تدعم الميزات عن بُعد (Remote-enabled frameworks and plugins) المذكورة أعلاه، مراجعة القائمين على صيانتها للحصول على الإرشادات اللازمة. كما تقترح Aikido على مديري الأنظمة والمطورين فحص قواعد بياناتهم ومستودعاتهم بحثًا عن أي استخدام لـ React للكشف عن أي نقاط ضعف محتملة.