- Cilladaha cusub ee qaybaha React Server, CVE-2025-55183 iyo CVE-2025-55184, waxay suurta gelinayaan soo bandhigida koodhka isha iyo diidmada adeegga.
- Labada arrimoodba waxay saameeyaan noocyada gaarka ah ee 19.x ee xirmooyinka react-server-dom-parcel, -turbopack iyo -webpack.
- Kooxda Meta ee React waxay soo saartay noocyo go'an oo ah 19.0.3, 19.1.4 iyo 19.2.3 waxayna ku boorinayaan casriyeyn degdeg ah.
- Cayayaanka waxaa la helay iyadoo la baarayo cadaadiska hore iyadoo la adeegsanayo balastarro React2Shell (CVE-2025-55182), taasoo muujinaysa baaritaan xooggan oo lagu sameeyay dusha sare ee weerarka RSC.
Laba Nuglaanta cusub ee la shaaciyay ee Qaybaha React Server (RSC) Waxaan fiiro gaar ah u yeelanay amniga casriga ah ee JavaScript backends. La soco sida CVE-2025-55183 iyo CVE-2025-55184, cilladahani ma suurtogelinayaan fulinta koodka fog ee tooska ah, laakiin wali waxay sababi karaan carqalad weyn iyada oo loo marayo diidmada adeegga iyo shaacinta aan loo baahnayn ee koodka isha dambe marka laga faa'iidaysto xaaladaha saxda ah.
Cayayaankan ayaa soo ifbaxay iyagoo qayb ka ah dib u eegista amniga oo ay kicisay arrinta muhiimka ah ee React2Shell (CVE-2025-55182), kaas oo horey u soo jiitay ka faa'iidaysiga firfircoon ee duurjoogta ah. In kasta oo daciifnimada cusubi ay ka yar tahay tii hore ee nuglaanta CVSS ee 10.0, haddana waxay iftiiminayaan sida marka cayayaan halis ah uu dadweynaha u soo baxo, cilmi-baarayaasha iyo weeraryahannadu si qoto dheer ayay u dhex galaan Waddooyinka koodhka RSC ee ku xiga ee raadinaya farsamooyinka weerarka kala duwan.
Taariikh: Laga bilaabo React2Shell ilaa Nuglaanta Cusub ee RSC
Iyadoo difaacayaasha iyo kooxda React ay adeegsadeen yareynta React2Shell, cilmi-baarayaasha amniga ayaa bilaabay inay baaraan koodhka la cusbooneysiiyay si loo hubiyo in hagaajinta la hagaajin karo. la leexiyay ama loo kordhiyay isticmaalka cusub ee aasaasiga ahHabkani waa hab-dhaqan caadi ah oo ka jira warshadaha oo dhan: marka la hagaajiyo nuglaanta aadka u daran, macquulka iyo is-dhexgalka u dhow ayaa si adag loo baaraa si loo helo qaabab isku mid ah.
Intii lagu guda jiray cilmi-baaristan dambe, Saddex cilladood oo la xiriira RSC ayaa la diiwaangeliyey: arrin diidmo adeeg (CVE-2025-55184), hagaajin aan dhammaystirnayn oo ku xigta oo leh saameyn isku mid ah (CVE-2025-67779), iyo daciifnimo shaacinta macluumaadka (CVE-2025-55183). In kasta oo CVE-2025-67779 ay sidoo kale khusayso amniga RSC, haddana diiradda ugu weyn hadda waa fahamka Dhaqanka iyo saameynta cusub ee faahfaahsan ee CVE-2025-55183 iyo CVE-2025-55184.
Marka laga soo tago falanqayntan farsamo, jawaab bixiyayaasha dhacdooyinka waxay arkeen silsilado ka faa'iidaysanaya oo ku soo kordhaya React2Shell, halkaas oo weeraryahannadu ay isku daraan RCE iyo culaysyada ka dambeeya faa'iidada iyo dhaqdhaqaaqa dhinaca. Hawlgalka sii socda wuxuu kordhinayaa baahida loo qabo in ururada la daweeyo. dhammaan nuglaanta RSC ee la xiriirta, oo ay ku jiraan CVE-2025-55183 iyo CVE-2025-55184, oo qayb ka ah hal dusha sare ee weerarka oo isbeddelaya halkii ay ka ahaan lahaayeen cayayaan gooni ah.
Helitaanka iyo shaacinta mas'uuliyadda leh ee arrimahan waxay muujinayaan sida bulshada amniga ballaaran, injineerada iibiyaasha iyo ugaarsiga cayayaannada iskaashi si loo adkeeyo qaab-dhismeedka sida React, xitaa marka cadowgu isku dayaan inay hubeeyaan isla qaybahaas.
Faahfaahinta Farsamada ee CVE-2025-55184: Diidmada Adeegga ee Hawlaha Server-ka
CVE-2025-55184 waxaa lagu tilmaamay inay tahay nuglaanshaha diidmada adeegga kahor-xaqiijinta (DoS) Saameynaya Qaybaha React Server. Asalka dhibaatadu waxay ku jirtaa sida ay u maareeyaan xirmooyinka RSC qaarkood ka takhalusidda culaysyada mushaharka ee ka imanaya codsiyada HTTP bartilmaameedsiga dhammaadka Shaqada Server-ka.
Noocyada nugul, codsiyada si gaar ah loo sameeyay ayaa kicin kara Macquul aan ammaan ahayn oo ku dhacda wareeg aan dhammaad lahaynMarka wareeggan la hawlgeliyo, habka loo maareeyo Shaqada Server-ka si wax ku ool ah ayuu u laalaadaa, taasoo horseedaysa xaalad uusan codsigu mar dambe awood u lahayn inuu u adeego taraafikada HTTP ee xigta ama si kalsooni leh uga jawaabo.
Saameyntu waxay si gaar ah u tahay mid walaac leh sababtoo ah cilladda waa la isticmaali karaa ka hor inta aan la fulin wax aqoonsi ahSi kale haddii loo dhigo, weeraryahanku uma baahna aqoonsi sax ah ama mudnaan sare si uu isugu dayo inuu ka faa'iidaysto; codsiyo xaasidnimo ah ayaa ku filan in lagu xiro ilaha server-ka iyo suurtogalnimada Garaac adeegga ku shaqeeya RSC ee offline-ka ah.
Sida laga soo xigtay dhibcaha la daabacay, CVE-2025-55184 waxay wadataa Dhibcaha saldhigga CVSS ee 7.5, oo gelinaya qaybta heerka sare ah. In kasta oo aysan keligeed bixin fulinta koodhka, haddana qaab DoS ah oo la isku halleyn karo oo ka dhan ah qayb muhiim ah oo ka mid ah qaybta dambe ee dambe ayaa wali u tarjumi kara khataraha helitaanka, jebinta heshiiska heerka adeegga iyo saameynta ganacsiga ee hoose.
Inta lagu jiro habka hagaajinta, aqoonsi gaar ah, CVE-2025-67779, waxaa loo xilsaaray xal aan dhammaystirnayn oo ku saabsan arrintan. CVE-da dabagalka ah waxay wax ka qabataa waddooyinka haray ee wali soo saaray saameyn isku mid ah oo diidmada adeegga ah, iyadoo hoosta ka xariiqaysa sida Xidhitaanka cayayaanka isku dhafan ee ka-hortagga cayayaanka waxay u baahan karaan ku celcelin badan si loo daboolo kiis kasta oo gees ah.
Faahfaahinta Farsamada ee CVE-2025-55183: Soo bandhigida Koodhka Isha iyada oo loo marayo Codsiyada La Sameeyay
Halka CVE-2025-55184 ay diiradda saareyso helitaanka, CVE-2025-55183 waxay ka hadlaysaa sirtaNuglaantan waxaa lagu gartaa inay tahay Cilladda daadinta macluumaadka ee Qaybaha Server-ka React taasi waxay sababi kartaa in koodhka isha ee Hawlaha Server-ka qaarkood loo celiyo macmiil fog.
Siideynta nugul, codsi HTTP ah oo si taxaddar leh loogu talagalay oo loo diro Shaqada Server-ka ee la soo bandhigay ayaa kicin kara hab-dhaqan halkaas oo server-ku uu ku jiro waxay ka jawaabtaa koodka hoose ee Hawl kasta oo Server ah oo la beegsanayoNoocan daadinta ah waxay muujin kartaa faahfaahinta hirgelinta, macquulka ganacsiga, xarfo adag ama macluumaad kale oo xasaasi ah oo ay ururradu caadi ahaan si adag ugu hayaan dhinaca server-ka.
Si kastaba ha ahaatee, ka faa'iidaysiga CVE-2025-55183 waxaa lagu xiray shuruud gaar ah: waa inay jirtaa ugu yaraan hal Shaqada Server-ka oo is-dhexgalkeedu soo bandhigo dood loo beddelay qaab xarig ah, si cad ama si dadban. Kaliya marka qaabkani ka jiro isticmaalka RSC ee codsiga ayaa nuglaantu u noqonaysaa mid u suurtogeli karta weerar yahan.
Qiimaynta amniga ayaa loo qoondeeyay Dhibcaha CVSS ee 5.3 ilaa CVE-2025-55183, oo dhigaya heerka dhexdhexaadka ah ee darnaanta. Si kastaba ha ahaatee, shaacinta koodhka isha waxay noqon kartaa mid aan waxyeello lahayn. Aqoonta magacyada shaqada gudaha, xuduudaha, maaraynta khaladaadka iyo socodka xogta waxay ka caawin kartaa kuwa ka soo horjeeda inay sameeyaan weeraro si gaar ah loogu talagalay, arag daciifnimo qarsoon iyo dadaallo injineernimo ah oo ku saabsan phishing ama injineernimada bulshada oo si dhow ula jaanqaadaya dhaqanka dhabta ah ee nidaamka.
Marka laga reebo qiimo kasta oo degdeg ah oo la isticmaalo, aragtida laga helo koodhka Shaqada Server-ka ee daatay ayaa si wax ku ool ah u rogi kara codsiga mid u gaar ah qorshe loogu talagalay isku dayada faragelinta mustaqbalka, gaar ahaan deegaannada ay qaabab isku mid ah uga muuqdaan adeegyo badan.
Xirmooyinka iyo Noocyada ay Saameysay ee ku jira Nidaamka Deegaanka ee React RSC
Nuglaanshaha cusub ee la diiwaan geliyay waxay saameeyaan tiro Xirmooyinka isku-dhafka Qaybaha Server-ka React, gaar ahaan hirgelinta ku xirta RSC qalabka dhismaha iyo waqtiga socodsiinta. Modules-ka ay saameysay waa:
- fal-celin-server-dom-parcel
- fal-celin-server-dom-turbopack
- react-server-dom-pack
Labada nooc ee CVE-2025-55184 iyo CVE-2025-55183, noocyada ay saameysay waxay ku jiraan sii deynno badan oo 19.x ah. Qalabka nugul waxaa ka mid ah 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 iyo 19.2.1Kooxaha horumarinta ee ku shaqeeya noocyadan wax soo saarka ama bandhigga waxay u baahan yihiin inay u maleeyaan in tusaalooyinkooda waxaa laga yaabaa inay u nugul tahay diidmada adeegga ama daadinta koodhka isha haddii ay la kulmaan taraafiko aan la aamini karin.
Intaa waxaa dheer, hagaajinta aan dhammaystirnayn ee ay matasho CVE-2025-67779 waxay saameysaa noocyada 19.0.2, 19.1.3 iyo 19.2.2In kasta oo aqoonsigani uu la xiriiro isla nooca dhaqanka DoS ee CVE-2025-55184, haddana wuxuu iftiiminayaa in xitaa deegaannada la cusboonaysiiyay ay qayb ahaan u sii muuqan karaan haddii ay ku degaan sii-deyntan dhexdhexaadka ah.
Noocyada kala duwan ee ay saameeyeen waxay muujinayaan sida Wareegga degdega ah ee RSC waxay dhib ku noqon kartaa maaraynta balastarrada. Ururada si joogto ah u cusbooneysiiya ama ku dhejiya noocyo yaryar oo gaar ah waxaa laga yaabaa inaysan ogaan in sii-deyn cusub oo la gaaray ay ku dhacdo daaqad ay saameysay, taasoo ka dhigaysa Hubinta nooca taxaddar leh waa lama huraan.
Marka la eego caannimada nidaamka deegaanka ee React iyo kor u qaadista sii kordheysa ee Qaybaha Server-ka ee loogu talagalay waxqabadka iyo khibradda horumariyaha, tirada codsiyada ee laga yaabo inay saameyso CVE-2025-55183 iyo CVE-2025-55184 waxay u badan tahay inay ku baahsan tahay noocyo kala duwan oo warshado ah iyo moodooyinka dejinta.
Noocyada La Dayactiray iyo Wadada Casriyeynta ee Lagu Taliyay
Si wax looga qabto nuglaanta, kooxda React waxay sii daayeen Noocyo la hagaajiyay oo loogu talagalay dhammaan saddexda xirmo ee RSC ee ay saameysayIsticmaalayaasha waxaa lagu boorinayaa inay u guuraan sida ugu dhakhsaha badan ee suurtogalka ah si loo helo sii-deynta go'an ee soo socota:
- 19.0.3
- 19.1.4
- 19.2.3
Sida laga soo xigtay kormeerayaasha, cusbooneysiintan si buuxda u yareeya dhibaatada diidmada adeegga ee ay ku sifoobeen CVE-2025-55184 iyo CVE-2025-67779 ee la xiriira, iyo sidoo kale khatarta shaacinta macluumaadka ee lagu sharraxay CVE-2025-55183. Muhiimad ahaan, vector-kii hore ee React2Shell (CVE-2025-55182) ayaa sidoo kale xannibay qaybo ballaaran oo balastar ah oo laga sii daayay laamaha 19.x.
Kooxaha mas'uulka ka ah dejinta wax soo saarka waxaa lagu dhiirigelinayaa inay tan ula dhaqmaan sidii hawsha dayactirka mudnaanta sare leh, gaar ahaan marka la eego sahaminta firfircoon ee nuglaanta RSC ee ay sameeyaan cilmi-baarayaasha sharciga ah iyo kuwa cadawga ah labadaba. Meesha aan si degdeg ah loo hirgelin karin khadadka yar ee ugu dambeeyay, ururradu waa inay ugu yaraan hubiyaan kuma dhegan yihiin mid ka mid ah dhismayaasha nugul ee si gaar ah loo taxay.
Sida caadiga ah, casriyeynta maktabadaha waa inay la socdaan tijaabinta iyo soo saarista jadwalkaKu darista hubinta dib-u-celinta ee ku saabsan Hawlaha Server-ka ee muhiimka ah, la socodka heerarka khaladaadka ka dib casriyeynta iyo dib u eegista diiwaanka si aan caadi ahayn loo tirtiro ama dhaqdhaqaaqa taxanaha ah waxay gacan ka geysan kartaa hubinta in noocyada cusubi ay u dhaqmaan sidii la filayay iyadoo la raacayo taraafikada dhabta ah.
Helitaanka degdegga ah ee balastarrada ayaa hoosta ka xariiqaysa mowqifka kooxda React ee ah in wareegyo badan oo shaacin ah aysan daruuri ahayn calaamad muujinaysa hagaajin guuldarraysatay, laakiin halkii ay ka ahaan lahayd wareegga jawaab celinta caafimaadka leh halkaas oo qoto dheer oo difaacu uu soo hagaago waqti ka dib maadaama kiisaska geesaha badan iyo dariiqyada kala duwan la ogaanayo oo la xallinayo.
Sida Loo Ogaday Loona Soo Warbixiyay Nuglaanta
Cilladaha cusub ee la diiwaan geliyay waxay muujinayaan iskaashi socda oo u dhexeeya cilmi-baarayaasha amniga ee madaxa-bannaan iyo barnaamijka abaalmarinta cayayaanka ee MetaArrimaha diidmada adeegga, CVE-2025-55184 iyo CVE-2025-67779 ee ku xiga, waxaa soo sheegay RyotaK iyo Shinsaku Nomura, kuwaas oo ku kasbaday ammaanta aqoonsiga sida culaysyada xaasidnimada leh ay RSC ugu riixi karaan xaalad aan jawaab celin lahayn.
Nuglaanta daadinta macluumaadka, CVE-2025-55183, waxaa shaaca ka qaaday Andrew MacPherson, kuwaas oo iftiimiyay xaaladaha uu Hawlgalka Server-ku ku soo celin karo koodhka isha u gaarka ah marka la soo bandhigo codsi HTTP oo si taxaddar leh loo dhisay.
Natiijooyinkan ayaa soo baxay markii cilmi-baarayaashu ay si firfircoon isugu dayayeen Tijaabi cadaadiska-yareynta yareynta jira ee CVE-2025-55182Markay sidaas sameeyeen, waxay si wax ku ool ah u soo celiyeen nooca shaqada falanqaynta ah ee ay weerarayaashu go'aansadeen inay qabtaan, laakiin ku jira qaab-dhismeed warbixin mas'uuliyad leh iyo qaybinta isku-dubaridka ah.
Kooxda React waxay si cad u qireen in qaababkan oo kale ay yihiin caadiga ah ee warshadaha software-ka, oo aan ahayn oo keliya nidaamka JavaScript. Marka cayayaan muhiim ah soo jiito dareenka, horumariyayaasha iyo kuwa ka soo horjeeda labaduba waxay raadiyaan Istaraatiijiyadaha "kala duwan" ee ka faa'iidaysiga iyadoo la marayo waddooyinka koodka deriska ah, mararka qaarna waxay muujinayaan daciifnimo hore loo iska indho tiray.
Iyagoo si dhakhso leh oo hufan ula hadlaya CVE-2025-55183, CVE-2025-55184 iyo CVE-2025-67779, mas'uuliyiinta waxay higsanayaan inay si dhakhso leh oo hufan ula xiriiraan Ka hor joogso hubaynta suurtagalka ah iyadoo la siinayo ururada tilmaamo cad oo ku saabsan sida loo sugo amniga hawlgalkooda Qaybaha React Server-ka.
Macnaha Khatarta: Sababta Cayayaanka Aan RCE-da Ahayn Ay Wali Muhiim U Yihiin
In kasta oo nuglaanta cusub aysan iyagu siinin weeraryahan fulinta koodka fog fog ee tooska ah, haddana weli way noqon karaan qalab qiimo sare leh oo ku jira qalab faragelin ballaaranCilad diidmo adeeg sida CVE-2025-55184 ayaa loo isticmaali karaa in lagu carqaladeeyo hawlgallada, loo dhaqmo sidii shaashad qiiqa ka mashquulisa difaacayaasha ama lagu baaro sida kaabayaasha ururku u adkeysan karaan culays aan caadi ahayn.
Marka la barbar dhigo, vector-ka soo-gaadhista koodhka isha sida CVE-2025-55183 waxay quudin kartaa dadaallada sahankaHelitaanka qoraalka gudaha ee Hawlaha Server-ka waxay muujin kartaa sida codsiyada loo xaqiijiyo, xuduudaha saameeya gelitaanka xogta, sida khaladaadka loo maareeyo iyo meesha adeegyada dhinac saddexaad lagu daro. Aragtidaasi waa mid qiimo leh oo ay leeyihiin weeraryahannada isku dayaya inay isku dayaan isku dayo ka faa'iidaysi oo sax ah ama qarsoodi ah.
Deegaannada horey ula tacaalayay wixii ka dambeeyay React2Shell (CVE-2025-55182), daciifnimada dheeraadka ah waxay kordhinaysaa kakanaanta muuqaalka guud ee khatarta. Difaacayaashu waxay ku qasban yihiin inay tixgeliyaan ka hortagga degdegga ah ee RCE laakiin sidoo kale. xasilloonida iyo sirta dhaqanka RSC marka la eego gelinta xaasidnimada leh.
Marka laga eego dhinaca maamulka, xaaladdani waxay iftiiminaysaa sababta Barnaamijyada maaraynta nuglaanta waxay u baahan yihiin inay eegaan wixii ka baxsan dhibcaha CVSS 10.0 ee cinwaan-qabsadaCayayaanka dhexe iyo kuwa sare ee saameeya helitaanka iyo soo-gaadhista macluumaadka ayaa wali muhiim noqon kara, gaar ahaan marka lagu daro farsamooyinka kale ee silsiladda weerarka dhabta ah.
Ugu dambeyntii, horumarkan ayaa xoojinaya fikradda ah in ilaalinta amniga hawlgallada RSC aysan ahayn dadaal hal mar ah. Taa beddelkeeda waa geeddi-socod sii socda oo hagaajinta, la socodka, tijaabinta iyo dib u eegista sida Hawlaha Server-ka loo qaabeeyey loona soo bandhigay wakhti ka dib.
Maadaama boodhku uu ku dego agagaarka xaaladda degdegga ah ee React2Shell iyo daahfurka dabagalka ee la xiriira, ururada isticmaalaya Qaybaha React Server ayaa lagu riixayaa inay dib u eegis ku sameeyaan noocyada ku tiirsanaantooda, adkeeyaan is-dhexgalka dhinaca server-ka oo si dhakhso leh uga jawaabaan talooyinka amniga ee kor ku xusanIyagoo la jaanqaadaya sii deynta ugu dambeysay ee la hagaajiyay iyo isku-darka hubinta amniga ee socodka shaqada ee horumarinta, kooxuhu waxay si weyn u yareyn karaan fursadda weeraryahannada bartilmaameedsanaya CVE-2025-55183, CVE-2025-55184 iyo nuglaanta RSC ee la xiriirta.
