پژوهشگران آسیب پذیری در نوامبر 2025 میلادی آسیب پذیری بحرانی را با شناسه CVE-2025-55182 در فریم ورک های React و Next.js شناسایی کردند. شدت این آسیب پذیری 10 از10 (بحرانی) ارزیابی شده است.
نقص مذکور در مکانیزم React server components (RSC) رخ می دهد و به مهاجم اجازه می دهد داده های مخرب را به گونه ای ارسال کنند که در فرایند Deserialization به عنوان کد معتبر تفسیر و اجرا شوند.
در نتیجه مهاجم میتواند:
- اجرای کد دلخواه بر روی سرور بدون نیاز به احراز هویت انجام دهد.
- کنترل کامل سرور را به دست گیرد و دستورات مخرب اجرا کند.
- اطلاعات حساس کاربران و پایگاه دادهها را استخراج یا تغییر دهد.
- درب پشتی (Backdoor) ایجاد کند و دسترسی دائمی داشته باشد.
- از سرور به عنوان سکوی حمله برای گسترش بدافزار یا حملات زنجیرهای استفاده کند.
- React نسخه های: 19.0، 19.1.0، 19.1.1، 19.2.0
- Next.js نسخه های:
- شاخه 16.x تا قبل از 16.0.7
- شاخه 15.x تا قبل از نسخه های امن 15.5.7، 15.4.8، 15.3.6، 15.2.6، 15.1.9، 15.0.5
- شاخه 14.x از نسخه 14.3.0-canary.77 به بعد
- کتابخانه های وابسته به RSC: Vite RSC plugin، Parcel RSC plugin، React Router RSC preview، RedwoodJS، Waku
- بهروزرسانی فوری به نسخه های امن ذکر شده (16.0.7، 15.5.7، 15.4.8، 15.3.6، 15.2.6، 15.1.9، 15.0.5).
- بررسی وابستگی ها: هر کتابخانه یا فریمورکی که از RSC استفاده میکند باید به روزرسانی شود.
- پایش لاگهای سرور برای شناسایی درخواستهای مشکوک مرتبط با RSC.
- استفاده از Web Application Firewall (WAF) برای جلوگیری از تزریق داده های مخرب در پروتکل React Flight.
- جداسازی محیط های توسعه و تولید برای کاهش سطح حمله.
- در صورت مشاهده فعالیت مشکوک، ایزوله سازی سریع سرور و بررسی کامل امنیتی توصیه میشود.
- 60