یک آسیبپذیری امنیتی بسیار خطرناک در کتابخانه React و فریمورک Next.js شناسایی شده که شدت آن به گفته کارشناسان ۱۰ از ۱۰ می باشد. این رخنه امنیتی به مهاجمان اجازه میدهد تنها با ارسال یک درخواست ساده HTTP و بدون نیاز به هیچگونه احراز هویت، کد دلخواه خود را روی سرور قربانی اجرا کنند.
آسیبپذیری شناسه CVE-2025-55182 که در پایگاه داده ملی آسیبپذیریهای آمریکا (NVD) ثبت شده، در بخش React Server Components رخ میدهد. ریشه اصلی مشکل به نحوه پردازش و رمزگشایی ورودیهای دریافتی توسط سرور مربوط میشود. حتی یک ورودی به ظاهر بیضرر و مخرب میتواند منجر به در اختیار گرفتن کامل کنترل سرور شود.
نسخههای آسیبپذیر شامل React 19.0، 19.1.0، 19.1.1 و 19.2.0 هستند، در حالی که نسخههای 19.0.1، 19.1.2 و 19.2.1 این مشکل را برطرف کردهاند و به عنوان نسخههای امن معرفی شدهاند.
این رخنه تنها به React محدود نمیشود؛ فریمورکهای پراستفادهای مانند Next.js و react-router نیز تحت تأثیر قرار گرفتهاند. بررسیهای اولیه نشان میدهد حدود ۳۹ درصد از محیطهای ابری که از این فناوریها استفاده میکنند، همچنان از نسخههای آسیبپذیر بهره میبرند و در معرض خطر جدی قرار دارند.
پژوهشگران امنیتی این آسیبپذیری را «سناریوی فاجعهبار» توصیف کردهاند، چرا که ویژگی های خاصی دارد که در ادامه اشاره می کنیم:
- از راه دور و بدون نیاز به دسترسی قبلی قابل انجام است،
- نیازی به احراز هویت ندارد،
- با احتمال موفقیت بسیار بالا اجرا میشود،
- و در نهایت امکان اجرای کامل کد دلخواه روی سرور را به مهاجم میدهد.
در حال حاضر تنها راهحل قطعی و ایمن، بهروزرسانی فوری React و تمام وابستگیهای مرتبط به آخرین نسخههای امن اعلام شده است.
تحریریه ژاکت
مشاهده تیم تحریریه
