آسیب‌پذیری بحرانی در React Server Components؛ ضرورت ارتقای فوری

اخبار اخبار تکنولوژی
آسیب‌پذیری بحرانی در React Server Components؛ ضرورت ارتقای فوری

به‌تازگی یک آسیب‌پذیری امنیتی بسیار جدی در React Server Components شناسایی شده که امکان اجرای کد از راه دور بدون احراز هویت (RCE) را برای مهاجم فراهم می‌کند. گزارش این آسیب‌پذیری ابتدا توسط Lachlan Davidson در ۲۹ نوامبر ۲۰۲۵ به تیم React ارسال شد سپس در دسامبر ۲۰۲۵ به‌صورت عمومی منتشر شد.

این نقص امنیتی با شناسه CVE-2025-55182 ثبت شده و دارای امتیاز ۱۰.۰  CVSS یعنی بالاترین سطح خطر است.

این آسیب‌پذیری ناشی از یک نقص در ساز وکار Decode کردن  Payloadهای دریافتی در  Endpointهای مربوط به React Server Function است. حتی اگر اپلیکیشن شما از این Endpointها استفاده نکند، در صورتی که از React Server Components پشتیبانی‌ کند، همچنان در معرض خطر قرار دارد.
React Server Functions به کلاینت اجازه می‌دهد یک تابع را در سمت سرور فراخوانی کند. در این فرآیند، درخواست HTTP در سمت سرور Deserialize می‌شود. مهاجم می‌تواند با ساخت یک درخواست مخرب، در همین مرحله به اجراي کد دلخواه روی سرور دست یابد.
 

نسخه‌ها و پکیج‌های آسیب‌پذیر

آسیب‌پذیری در نسخه‌های زیر گزارش شده است:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

 

نسخه‌های در معرض خطر:

19.0 • 19.1.0 • 19.1.1 • 19.2.0

 

دامنه تأثیر و خطرات احتمالی

در صورت سوءاستفاده موفق از این آسیب‌پذیری، پیامدهای زیر محتمل است:

  • اجرای کد مخرب روی سرور (Remote Code Execution)
  • دسترسی غیرمجاز به اطلاعات حساس کاربران
  • تغییر یا حذف داده‌های سیستم
  • نصب بدافزار یا Backdoor روی سرور
  • حرکت جانبی در شبکه سازمانی (Lateral Movement)
  • اختلال در سرویس یا از کار افتادن کامل سیستم

به دلیل امتیاز ۱۰ در استاندارد CVSS، این نقص در بالاترین سطح خطر طبقه‌بندی می‌شود و نیازمند اقدام فوری است.

 

نسخه‌های رفع‌شده واقدامات امنیتی

رفع مشکل در نسخه‌های زیر ارائه شده است:

  • 19.0.1
  • 19.1.2
  • 19.2.1

توسعه‌دهندگان توصیه می‌کنند اقدامات زیر فورا انجام شود:

  • به‌روزرسانی React به آخرین نسخه امن منتشرشده
  • محدود کردن دسترسی به Endpointهای سرور
  • اعتبارسنجی دقیق ورودی‌ها در سمت سرور
  • استفاده از Web Application Firewall (WAF)
  • مانیتورینگ لاگ‌های سرور برای درخواست‌های مشکوک
  • اعمال اصل حداقل دسترسی (Least Privilege)

طبق اعلام شرکت Meta Platforms (توسعه‌دهنده React)، نصب Patch امنیتی مهم‌ترین راهکار جلوگیری از سوءاستفاده است.

اگر از نسخه‌های آسیب‌پذیر استفاده می‌کنید، به‌روزرسانی فوری ضروری است. برخی ارائه‌دهندگان هاست اقدامات موقتی اعمال کرده‌اند، اما این راهکارها جایگزین به‌روزرسانی رسمی نیستند و همچنان باید فوراً نسخه‌های خود را ارتقا دهید. 

در سایبرنو، تحولات امنیتی را به‌صورت مداوم رصد می‌کنیم و آماده‌ایم برای ایمن‌سازی زیرساخت‌ها و اپلیکیشن‌های شما مشاوره و راهکار ارائه دهیم.

تاریخ انتشار: 1404/11/29
تاریخ بروزرسانی: 1404/11/29
user avatar
نویسنده: زینب ابراهیم‌پور کارشناس بازاریابی دیجیتال
زینب ابراهیم‌پور در سال 1403 در مقطع دکتری رشته ارتباطات از دانشگاه شانگهای فارغ التحصیل شد. در طول تحصیل با شرکت‌های بین المللی در زمینه دیجیتال مارکتینگ همکاری داشته و از سال 1400 به طور ثابت تخصص حرفه‌ای خود را با شرکت‌های بزرگ ایرانی شروع کرده است. ایشان در سال 1404 به مجموعه سایبرنو پیوست.
برچسب‌های مرتبط
اخبار اخبار تکنولوژی
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

با ما در ارتباط باشید
تهران، میدان رسالت، خیابان فرجام، خیابان شهید حسینعلی، پلاک ۹
۰۲۱-۹۱۰۹۴۳۳۰
۰۲۱-۷۷۲۴۳۸۲۹
info@cyberno.ir
گواهینامه‌ها
logo-samandehi
مشاهده
بیشتر
تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.