جستجو
مقالات تخصصی برنامه نویسی
3 دقیقه مطالعه
آسیبپذیری بحرانی CVE-2025-55182 در React Server Components و تأثیر آن بر Next.js — راهنمای کامل رفع مشکل
در آذر ۲۰۲۵ یک آسیبپذیری بحرانی با شناسه CVE-2025-55182 در React Server Components کشف شد که امکان اجرای کد از راه دور (RCE) را فراهم میکرد. این مشکل نسخههای 19.0 تا 19.2 React و تمام فریمورکهایی که RSC را پیادهسازی میکنند—including Next.js 14، 15 و 16—تحت تأثیر قرار داده است. نسخههای وصلهشده اکنون منتشر شدهاند و ارتقا فوری ضروری است.
تگها:
آسیبپذیری بحرانی CVE-2025-55182 در React Server Components و تأثیر آن بر Next.js
در تاریخ ۳ دسامبر ۲۰۲۵، یک آسیبپذیری بحرانی در React Server Components با شناسه CVE-2025-55182 گزارش شد. این نقص امنیتی نسخههای جدید React 19 و تمام فریمورکهایی که این پیادهسازی را استفاده میکنند، از جمله Next.js 14، Next.js 15 و Next.js 16 را تحتتأثیر قرار داده است.
این آسیبپذیری به مهاجم امکان میدهد با ارسال درخواستهای دستکاریشده، باعث اجرای کد از راه دور (Remote Code Execution) شود. به دلیل سطح دسترسی RSC به سرور و محیط اجرا، این موضوع به عنوان یک حفره امنیتی بسیار جدی طبقهبندی شده است.خلاصه آسیبپذیری
مشکل در نحوه پردازش ورودیهای ناشناس در پیادهسازی React Server Components است. در نسخههای آسیبپذیر، دادههای دریافتی ممکن است مسیر اجرای ناخواسته کد را فراهم کنند. این آسیبپذیری شامل بستههای زیر است:
- react-server-dom-parcel — نسخههای 19.0.0 تا 19.2.0
- react-server-dom-webpack — نسخههای 19.0.0 تا 19.2.0
- react-server-dom-turbopack — نسخههای 19.0.0 تا 19.2.0
این بستهها در فریمورکهای مهمی مانند Next.js و ابزارهای دیگر مورد استفاده قرار میگیرند.
فریمورکها و ابزارهای آسیبپذیر
نسخههای آسیبپذیر Next.js:
- Next.js ≥14.3.0-canary.77
- Next.js 15 (تمام نسخههای اولیه)
- Next.js 16 (نسخههای اولیه)
همچنین ابزارها و فریمورکهای زیر نیز آسیبپذیر اعلام شدهاند:
- Vite
- Parcel
- React Router
- RedwoodSDK
- Waku
اثرات امنیتی
این آسیبپذیری میتواند منجر به:
- اجرای کد از راه دور (RCE)
- دور زدن محدودیتهای امنیتی سمت سرور
- افشای دادههای حساس
- به خطر افتادن کامل سرور
از آنجا که RSC روی سرور اجرا میشود، این نقص میتواند پیامدهای بسیار شدیدی داشته باشد.
اقدامات پیشگیرانه و محافظت Vercel
Vercel با انتشار فوری قوانین جدید روی Vercel WAF این آسیبپذیری را برای تمام پروژههای میزبانیشده محافظت کرد. اما تأکید کرده که:
«بههیچوجه فقط به WAF تکیه نکنید — ارتقای فوری ضروری است.»
توصیه رسمی Vercel ارتقای سریع به نسخههای وصلهشده است، حتی اگر پروژه شما روی Vercel میزبانی نشده باشد.
راهکار رفع آسیبپذیری
نسخههای وصلهشده React و Next.js منتشر شدهاند. بلافاصله باید به نسخههای ثابت ارتقا دهید.
نسخههای وصلهشده React:
- React 19.0.1
- React 19.1.2
- React 19.2.1
نسخههای وصلهشده Next.js:
- Next.js 15.0.5
- Next.js 15.1.9
- Next.js 15.2.6
- Next.js 15.3.6
- Next.js 15.4.8
- Next.js 15.5.7
- Next.js 15.6.0-canary.58
- Next.js 16.0.7 (آخرین نسخه امن)
راهنمای ارتقا
npm install next@16.0.7 react@19.2.1 react-dom@19.2.1یا در پروژههای Next.js 15:
npm install next@15.6.0-canary.58توصیههای امنیتی
- در اولین فرصت به نسخههای وصلهشده ارتقا دهید.
- استفاده از ورودیهای ناشناس را بررسی و محدود کنید.
- در صورت نیاز از WAF برای لایه محافظتی اضافی استفاده کنید.
- پکیجهای مربوط به RSC را همیشه در آخرین نسخه نگه دارید.
جمعبندی
آسیبپذیری CVE-2025-55182 یادآور این است که حتی محبوبترین فناوریها نیز میتوانند دچار مشکلات امنیتی بزرگ شوند. اگر از Next.js یا ابزارهای مبتنی بر React 19 استفاده میکنید، ارتقای فوری به نسخههای جدید حیاتی است. خوشبختانه نسخههای امن منتشر شدهاند و با یک آپدیت ساده میتوانید امنیت اپلیکیشن خود را بازیابی کنید.
منبع
