رادار تكنولوژي

خطر جدی توی React: یه آسیب‌پذیری وحشتناک که باید سریع وصله‌اش کنید!

  • ۱۵ آذر ۱۴۰۴

بچه‌ها، یه خبر دست اول درباره React دارم که واقعاً باید جدی بگیریدش! اگه با React کار می‌کنید یا پروژه‌ای دارید که روش ساخته شده، حتما تا آخر این مطلب رو بخونید چون یه آسیب‌پذیری خیلی جدی پیدا شده که تقریباً همه رو تهدید می‌کنه.

📢 چی شده؟
یه باگ جدید با اسم CVE-2025-55182 (این اسمای عجیب معمولاً برای شناسایی آسیب‌پذیری‌های نرم‌افزاریه) کشف شده که فقط با شنیدنش باید بترسیم! این باگ روی React Server Components تاثیر می‌ذاره، یعنی بخشی که کمک می‌کنه داده‌ها یا کارها رو سمت سرور انجام بدیم. شدت این مشکل رو ۱۰ از ۱۰ دادن؛ یعنی خیلی بحرانی.

این آسیب‌پذیری به مهاجم‌ها اجازه می‌ده حتی قبل از اینکه وارد سیستم بشن (pre-authentication)، هر دستوری دوست دارن روی سرور شما اجرا کنن! به این میگن RCE یا Remote Code Execution – یعنی کل سرور رو می‌دن دست هکرها. حتی اگه طرف هیچ مهارتی هم نداشته باشه، می‌تونه با این باگ خرابکاری کنه!

کدوم نسخه‌ها مشکل دارن؟
اگر از نسخه‌های ۱۹.۰ تا ۱۹.۲.۰ react-server-dom-webpack، react-server-dom-parcel یا react-server-dom-turbopack استفاده می‌کنید، احتمالاً آسیب‌پذیر هستید. همچنین فریم‌ورک‌ها و ابزارهایی مثل Next.js، React Router، Waku، @parcel/rsc، @vitejs/plugin-rsc و rwsdk هم تو نسخه‌های پیش‌فرض ممکنه آسیب‌پذیر باشن.

⏰ راهکار چیه؟
تیم React خیلی صریح گفته: فوری به نسخه‌های وصله‌شده یعنی ۱۹.۰.۱، ۱۹.۱.۲ یا ۱۹.۲.۱ آپدیت کنید. توصیه اینه که کاملاً جدیه – اصلاً فردا و پس‌فردا نکنید، همین امروز آپدیت رو انجام بدید تا مشکلی براتون پیش نیاد.

❗️ چرا اینقدر حساسه؟
طبق گفته The Register، حدود ۴۰ درصد فضای ابری کل دنیا رو React سر پا نگه داشته! یعنی فیسبوک، اینستاگرام، نتفلیکس، Airbnb، Shopify و کلی سایت و سرویس بزرگ و میلیون‌ها برنامه‌نویس دارن ازش استفاده می‌کنن. با این وسعت، اگه این باگ دست هکرها بیفته، یه فاجعه به بار میاد.

🔊 متخصص‌ها چی گفتن؟
یه نفر به اسم Benjamin Harris – که خودش مدیرعامل یه شرکت امنیت سایبریه – گفته اصلاً شکی نیست که این باگ به زودی تو دنیای واقعی سوءاستفاده میشه. مخصوصاً حالا که اطلاعاتش عمومی شده، فقط منتظر باشیم که هکرها حمله کنن.
حتی یه تیم به اسم Wiz هم این آسیب‌پذیری رو تست کرده و گفته احتمال موفقیت حمله با این باگ «تقریباً صددرصد» ـه!

پس واقعاً توصیه می‌کنم وصله‌ رو نصب کنید و خیال‌تون رو راحت کنید. حتی اگه فکر می‌کنید سایتتون کوچیکه یا مهم نیست، باز هم بی‌خیال نشید؛ این مدل آسیب‌پذیری‌ها فرق نمی‌ذارن که سایت شما کوچیکه یا بزرگ، هکرها دنبال راحت‌ترین راهن.

راستی اگه سمت سازمان یا شرکت هستید، مثلاً تو فروش جمعه سیاه (Black Friday)، خیلی از سرویس‌ها تخفیف دادن – یه نمونه‌ش NordPass هست که برای طرح‌های Enterprise و Business تا سی درصد تخفیف گذاشته (تا تاریخ دهم دسامبر ۲۰۲۵ با کد BLACKB2B-30). اما خب اصل داستان امروزمون همین باگ React بود.

در نهایت یه جمع‌بندی: اگه از React مخصوصاً سرویس‌های سمت سرور استفاده می‌کنین، سریع‌ترین کاری که باید انجام بدید اینه که ابزار یا فریم‌ورک رو به آخرین نسخه امن آپدیت کنید تا هکرها دستشون به سیستم‌تون نرسه. الان واقعاً جای تعلل و شُل گرفتن نیست!

همیشه بروز بمونید و سعی کنید اخبار امنیتی رو دنبال کنید تا از تهدیدات جا نمونید 😉

منبع: +