شهد مجتمع تطوير الويب خلال الأيام الماضية حالة من القلق بعد إعلان فريق React عن اكتشاف ثغرة أمنية شديدة الخطورة في React Server Components. الثغرة تم تسجيلها رسميًا تحت الرقم CVE-2025-55182، وحصلت على أعلى تقييم خطورة في نظام CVSS بدرجة 10 من 10، ما يجعلها من أخطر أنواع الثغرات على الإطلاق.

ما هي المشكلة؟

الثغرة تسمح بتنفيذ أوامر على الخادم عن بُعد ومن غير أي صلاحيات، بمجرد أن يرسل المهاجم طلبًا مصممًا بطريقة معينة. هذا النوع من الثغرات يُعتبر من أخطر التهديدات، لأنه يسمح باختراق أنظمة كاملة بسهولة ومن دون الحاجة لاختراق حسابات أو كلمات سر.

لماذا الثغرة خطيرة جدًا؟

React هي واحدة من أكثر التقنيات استخدامًا في بناء واجهات الويب، وتقديرات حديثة تشير إلى أن حوالي 39% من بيئات الحوسبة السحابية تستخدم React أو تقنيات مبنية عليها. هذا يعني أن نطاق الخطر واسع جدًا وقد يؤثر على عدد كبير من المواقع والخدمات.

الإصدارات المتأثرة بالثغرة

أعلنت React أن الثغرة موجودة في الإصدارات التالية:

• 19.0
• 19.1.0
• 19.1.1
• 19.2.0

وبالتحديد داخل الحزم:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

كما تؤثر أيضًا على الإعدادات الافتراضية لعدة أطر عمل وأدوات تجميع، مثل:

• Next.js
• React Router
• Waku
• @parcel/rsc
• @vitejs/plugin-rsc
• rwsdk

كيف تحمي تطبيقك؟

أبسط وأهم خطوة الآن هي التحديث الفوري للنسخ المصححة التي أعلنت عنها React، وهي:

• 19.0.1
• 19.1.2
• 19.2.1

التحديثات تتضمن إصلاح الثغرة بشكل كامل، ويُنصح أيضًا بمراجعة السجلات والطلبات التي تصل إلى الخادم للتأكد من عدم وجود نشاط مشبوه.

ماذا يجب أن يفعل المطورون الآن؟

1. تحديث الإصدارات المتأثرة فورًا
2. فحص بيئات الإنتاج والاختبار
3. التحقق من الحزم التابعة التي قد تكون متأثرة تلقائيًا
4. متابعة الإعلانات الأمنية الخاصة بـ React والمكتبات المرتبطة بها

الخلاصة

الثغرة CVE-2025-55182 تُعد من أخطر الثغرات التي واجهها مجتمع React، والجدية في التعامل معها ضرورية لتجنب أي اختراقات محتملة. تحديث بسيط قد يحمي تطبيقك أو شركتك من هجوم قد يكلف الكثير.

فريق عمل قوللي قام بالتأكد من عدم تأثر التطبيق بتلك المشكلة