رمز أحمر: ثغرات حرجة في React و Next.js تهدد ملايين تطبيقات الويب

ثغرات جديدة خطيرة تعرض أشهر أطر عمل الويب في العالم لهجمات تنفيذ التعليمات البرمجية عن بُعد - التحديثات متوفرة، لكن السباق قد بدأ.

بدأ الأمر كهمسة في أوساط الأمن السيبراني: ثغرة خطيرة لدرجة أنها قد تحول كل موقع ويب مبني على React إلى ملعب رقمي للقراصنة. وبحلول يوم الأربعاء، تحولت الهمسات إلى تحذيرات عاجلة. اثنان من أكثر أطر عمل الويب شعبية - React و Next.js - يقعان الآن في قلب أزمة أمنية حرجة، ويخشى الخبراء من أن الاستغلال الجماعي ليس سوى دورة تحديث واحدة بعيداً.

تكمن جوهر المشكلة في كيفية تعامل مكونات الخادم في React (RSC) - وهي ابتكار حديث في نظام React - مع البيانات المرسلة إلى الخادم. ووفقاً لباحثي Wiz، فإن خطأً حرجاً في البروتوكول يسمح للمهاجمين بإرسال حمولات مصممة خصيصاً إلى نقاط نهاية وظائف الخادم في React. يتم بعد ذلك "إلغاء تسلسل" هذه الحمولات بطريقة غير آمنة، مما يفتح الباب لتنفيذ التعليمات البرمجية عن بُعد بشكل كامل. بمعنى آخر: يمكن للمهاجم تشغيل أي تعليمات برمجية يريدها على الخادم، دون الحاجة إلى كلمة مرور أو وصول مسبق.

تم تصنيف هذه الثغرة تحت CVE-2025-55182 لـ React و CVE-2025-66478 لـ Next.js، مع درجة خطورة كاملة 10/10. ويحذر خبراء الأمن مثل بنجامين هاريس، الرئيس التنفيذي لشركة watchTowr، من أنه مع إعلان الثغرة وتوفر التحديثات، فإن الأمر مجرد مسألة وقت قبل أن يقوم المهاجمون بعكس هندسة الإصلاح وشن هجمات واقعية.

وما هو أكثر إثارة للقلق أن الإعداد المعرض للخطر هو الافتراضي. هذا يعني أن آلاف - وربما ملايين - تطبيقات الويب مكشوفة الآن، دون أي تعديلات أو تخصيصات غير معتادة. بالنسبة للشركات التي تدير مواقع ويب شهيرة أو منصات SaaS أو أي شيء مبني على React أو Next.js، فإن الخطر فوري وحاد.

الحجم مذهل. تقدر Wiz أن 40% من بيئات السحابة تحتوي على نسخة واحدة على الأقل من كود React أو Next.js معرض للخطر. هذه الأطر، التي طورتها فيسبوك و Vercel على التوالي، تشكل الأساس لكل شيء من عمالقة وسائل التواصل الاجتماعي إلى شركات التكنولوجيا المالية الناشئة. هجوم ناجح قد يسمح للقراصنة بسرقة البيانات أو زرع برامج الفدية أو التوغل أعمق في الشبكات المؤسسية.

تم الإبلاغ عن الثغرات بشكل مسؤول إلى React من قبل الباحث الأمني لاكلان ديفيدسون في نوفمبر الماضي عبر برنامج مكافآت الثغرات الخاص بـ Meta. وقد نشرت كل من فرق React و Vercel الآن إرشادات عاجلة، تحث جميع المستخدمين على التحديث فوراً. لكن، وبحسب الباحثين، فإن الاستغلال يتطلب "القليل من المتطلبات المسبقة"، لذا فإن نافذة التصحيح الآمن تغلق بسرعة.

ويكيكروك: معجم المصطلحات

تنفيذ التعليمات البرمجية عن بُعد (RCE): نوع من الهجمات السيبرانية حيث يمكن للمهاجم تشغيل تعليمات برمجية عشوائية على نظام الهدف عبر الإنترنت.
إلغاء التسلسل: عملية تحويل البيانات من تنسيق (مثل JSON أو ثنائي) إلى كائن قابل للاستخدام؛ إذا تم ذلك بشكل غير آمن، يمكن استغلاله لتنفيذ تعليمات برمجية خبيثة.
مكونات الخادم في React (RSC): ميزة جديدة في React تتيح عرض أجزاء من تطبيق الويب على الخادم، مما يحسن الأداء والمرونة.
CVE (الثغرات والتعرضات الشائعة): معرّف قياسي في الصناعة للثغرات السيبرانية المعروفة علنياً.
تصحيح: تحديث برمجي يصلح الأخطاء أو الثغرات في أحد البرامج.