جنون React2Shell: تطبيقات الويب العالمية تحت الحصار مع تصاعد الاستغلال

ثغرة حرجة في React أطلقت موجة من الهجمات، مكشوفة ملايين تطبيقات الويب للاستيلاء عن بُعد.

بدأ الأمر بإفصاح واحد فقط. خلال ساعات، كانت أشهر تطبيقات الويب في العالم تحت النيران. ثغرة React2Shell المكتشفة حديثًا - والتي سميت تيمناً بثغرة Log4Shell الشهيرة - أشعلت سباقًا عالميًا حيث يتسابق القراصنة لاستغلال ثغرة قد تمنحهم السيطرة على ملايين الخوادم. بالنسبة لمزودي الخدمات السحابية والمطورين والمستخدمين، الوقت يداهمهم.

حقائق سريعة

React2Shell (CVE-2025-55182) هي ثغرة حرجة لتنفيذ التعليمات البرمجية عن بُعد في برنامج React مفتوح المصدر، تم الكشف عنها علنًا في 3 ديسمبر 2025.
بدأت جهات تهديد، بما في ذلك مجموعات مرتبطة بالصين، في استغلال الثغرة خلال ساعات من الكشف عنها.
تطبيقات Next.js معرضة بشكل خاص، مع تحديد أكثر من 2.1 مليون خدمة ويب مكشوفة بواسطة Censys.
تشمل الهجمات تعدين العملات الرقمية، وسرقة بيانات الاعتماد، وحملات الأبواب الخلفية المعقدة.
توجد تدابير تخفيف عبر جدران الحماية لتطبيقات الويب (WAF)، لكن يبقى التصحيح ضروريًا بسبب تقنيات تجاوز WAF.

تشريح استغلال حديث

ثغرة React2Shell، التي تحمل الرقم CVE-2025-55182، هي ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) تؤثر على بروتوكول مكونات خادم React (RSC). سارع الباحثون الأمنيون إلى تشبيهها بـ Log4Shell - وهو تشبيه يحمل تحذيرًا بقدر ما هو ملاحظة تقنية. حصلت الثغرة على الدرجة القصوى 10 في مقياس شدة CVSS، ما يعني أن الاستغلال قد يسمح للمهاجمين بتشغيل أي تعليمات برمجية يرغبون بها على الخوادم المعرضة للخطر.

خلال أيام، لاحظت فرق الأمن زيادة كبيرة في الاستغلال. أبلغ رئيس أمن المعلومات في أمازون عن حملات مبكرة وشرسة من مجموعات مرتبطة بالصين. وأكدت شركات الأمن مثل Wiz وVulnCheck مئات محاولات الاستغلال التي تستهدف بيئات سحابية - خاصة تلك التي تشغل Next.js، الإطار الشهير الذي تديره Vercel.

لماذا Next.js؟ لأن استخدام الإطار الافتراضي لتصيير الخادم (SSR) يعني أن منطق فك التسلسل المعرض للخطر مكشوف بشكل افتراضي. ووفقًا للباحثين الأمنيين، لا يحتاج المهاجمون إلى معرفة خاصة بالإجراءات أو المسارات المعرفة من قبل المستخدم - يكفيهم الوصول إلى تطبيق متاح للعامة. ولا يتوقف الخطر هنا: فقد تم العثور على ثغرات مماثلة في أطر أخرى تستخدم بروتوكول RSC، مثل Waku وVite.

كشفت عمليات المسح عبر الإنترنت التي أجرتها Censys عن أكثر من مليوني خدمة معرضة للخطر، مع أعلى تركيز في الولايات المتحدة والصين وألمانيا. وبينما لم يتم التأكد من أن جميعها معرضة، يحث الخبراء المؤسسات على افتراض وجود الخطر ما لم يتم تطبيق التصحيحات فورًا. وقد سارعت شركات جدران الحماية لتطبيقات الويب مثل Cloudflare وAWS إلى نشر قواعد جديدة، لكن المهاجمين بدأوا بالفعل في تجربة طرق تجاوز WAF.

صحح الآن أو ادفع الثمن لاحقًا

أزمة React2Shell تذكير صارخ بمدى سرعة تحول الثغرات من الكشف إلى الاستغلال الواسع. يؤكد خبراء الأمن أنه رغم أن الجدران النارية والمراقبة قد تساعد، إلا أن لا شيء يعوض عن التصحيح في الوقت المناسب. كما قال أحد الباحثين: "جدران الحماية ليست عصا سحرية." ومع تحرك المهاجمين الانتهازيين بسرعة، قد تجد المؤسسات التي تتأخر نفسها قريبًا ضحية جديدة لهذا الحصار العالمي على الويب.