- CVE-2025-55182 cillad halis ah oo ku jirta Qaybaha Server-ka React waxay awood u siinaysaa fulinta kood fog oo aan la xaqiijin iyada oo loo marayo kala-saarid ammaan ah.
- Arrintu waxay hoos ugu dhacaysaa Next.js sida CVE-2025-66478, iyadoo labadaba dayacanka lagu qiimeeyay heerka ugu sarreeya (CVSS 10).
- Qaabaynta caadiga ah waa la soo bandhigay, cilmi-baarayaashuna waxay soo sheegaan 100% ku dhow inay ka faa'iidaystaan isku halaynta meelo badan oo adduunka dhabta ah.
- Iibiyeyaashu waxay siidaayeen hagitaan iyo balastar, iyo ururada isticmaalaya React ama Next.js waa inay cusboonaysiiyaan oo ay dib u eegaan geyntooda isla markiiba.
Daah furka CVE-2025-55182 ee Qaybaha React Server iyo saamaynta ay ku leedahay Next.js waxay si dhakhso ah u noqotay mid ka mid ah sheekooyinka amniga ee loogu hadal haynta badan yahay horumarinta mareegaha. Ciladda ayaa daaha ka qaadaysa waddo muhiim u ah weeraryahannada si ay u gaaraan fulinta koodka fog ee server-yada ku tiirsan tignoolajiyadan caanka ah.
Kooxaha qaatay xirmooyinka React ee casriga ah iyo Next.js, kani maaha cayayaan tacliimeed oo aan la taaban karin. Cilmi-baarayaasha amnigu waxay ka digayaan in ka faa'iidaysigu uu yahay mid dhab ah oo aad loo isku halleyn karo, iyo qaabayntaas aan caadiga ahayn waxay ka tagtaa wax soo saar badan oo la diro si lama filaan ah u furan si loo weeraro haddii aan si dhakhso ah loo dhejin.
"React2Shell": Nuglaanta Ba'an ee Ruxaysa Shabakadda - iyo Maxay Muhiim u tahay
Nuglaanta udub dhexaad u ah xaaladdan, si guud loola socdo sida CVE-2025-55182, waxay saamaysaa borotokoolka ka dambeeya Qaybaha Server React (RSC). Cilmi baadhayaashu waxay naaneeso dariiqa faa'iidada leh "React2Shell" si ay u xoojiyaan in weerarka guuleysta uu ka gudbi karo codsi la sameeyay ee RSC si loo helo heer qolof ah oo buuxa ee serverka hoose.
Heer sare, cilladdu waxay soo baxdaa sababtoo ah Kala saarista aan badbaadada lahayn ee culaysyada mushaharka ee la bixiyo si loo falceliyo shaqada Server-ka ee dhamaadka dhibcood. Marka qayb ka mid ah server-ku ay socodsiiso culaysyadan sida gaarka ah loo farsameeyay, weeraryahanku waxa uu ka beddeli karaa maaraynta xogta u muuqata mid aan fiicneyn oo uu ku fulinayo koodka aan sharciga ahayn iyada oo aan loo baahnayn in la xaqiijiyo.
In kasta oo arrinta xididku ku nooshahay hirgelinta isha furan ee React, saamaynteedu halkaas kuma joogsato. Next.js, kaas oo ku dul dhisma React oo si weyn loogu isticmaalo codsiyada heerka-soo-saarka, waxay ka dhaxashaa dhibka ku jira maaraynta macquulka dhinaca server-ka. Khatarta hoose ayaa si gaar ah loo soo koobay sida CVE-2025-66478, taasoo si wax ku ool ah u ballaarinaysa raadiyaha qaraxa qayb weyn oo ka mid ah xirmooyinka shabakadda casriga ah.
Labada CVE-2025-55182 iyo dhiggeeda Next.js labaduba waxay ahaayeen loo qoondeeyay dhibcaha darnaanta ugu badan ee 10 hoos yimaada nidaamka dhibcaha nuglaanta guud. Qiimayntani waxa ay ka tarjumaysaa isku darka ka faa'iidaysiga fog, la'aanta shuruudaha xaqiijinta, iyo suurtogalnimada in la dhamaystiro nidaamka.
Waa maxay React2Shell - iyo sidee buu u shaqeeyaa?
Daboolka hoostiisa, Qaybaha Server-ka React waxay ku tiirsan yihiin borotokool halkaas oo macmiilka iyo seerfarku ay ku beddelanayaan culaysyo taxane ah si ay u maareeyaan samaynta dhinaca server-ka iyo macquulka ah. Xuddunta React2Shell waa taas Culaysyadan waxa loo maamuli karaa hab kicinaya khalkhal aan badbaado lahayn, oo si wax ku ool ah u oggolaanaya gelinta uu xakameeyo weeraryahanku in loo tarjumo sida tilmaamaha la fulin karo ee server-ka.
Xaaladda weerarka caadiga ah, cadawgu waxa uu farsameeyaa culayska xaasidnimada ah ee bartilmaameedsada a Ka falcelinta shaqada serverka barta ugu dambeysa ee uu soo bandhigay codsi. Sababtoo ah baylahda waxaa la kicin karaa iyada oo aan la xaqiijin, weeraryahanku wuxuu kaliya u baahan yahay marin u helka barta ugu dambeysa si uu isugu dayo ka faa'iidaysi.
Marka culayska lacag bixinta xaasidnimada ah la habeeyo, server-ku waxa laga yaabaa inuu ka saaro si aan badbaado lahayn, isaga oo si wax ku ool ah u kala furfuraya khadka u dhexeeya xogta iyo koodka. Tani waxay furaysaa albaabka fog ee fulinta koodka, taasoo siinaysa qofka weerarka qaadaya awood uu ku socodsiiyo amarrada aan sabab lahayn ee ogolaanshaha nidaamka server-ka.
Marka loo eego natiijooyinka ay wadaagaan cilmi-baarayaasha ka socda Wiz, dariiqa ka faa'iidaysiga maaha kaliya aragti. Intii lagu guda jiray tijaabooyinka gudaha, waxay soo sheegeen ka faa'iidaysiga "daacadnimo sare" iyadoo heerarka guushu ku dhow yihiin 100% Deegaannada ay ku tijaabiyeen. Kalsoonidaas heerkaas ah waxay si weyn hoos ugu dhigtaa xannibaadda weeraryahannada waxayna kordhisaa degdegga difaacayaasha, como ilustran recientes casos de ataques a la cadena de suministro de npm.
Waxa taas ka dhigaysa mid walaac gaar ah u leh dhakhaatiirta waa taas hab-dhaqanka nugul waxa uu ku jiraa qaabaynta caadiga ah. Si kale haddii loo dhigo, horumariyayaashu qasab ma aha inay doortaan goobaha aan ammaan ahayn; Codsiyo badan ayaa si fudud loo soo bandhigay sababtoo ah waxay isticmaalayaan heerka caadiga ah ee lagu taliyey.
Baaxadda iyo Saamaynta: Waa maxay sababta Mashaariic badan ay khatar ugu jiraan
Tignoolajiyada ku lug leh ayaa tan ka dhigaya dhibaato gaar ah oo baahsan. React, ku dhashay Facebook oo hadda loo hayo sidii maktabad il furan, waxay taageertaa qayb wayn oo is-dhexgal shabakadeed oo casri ah iyada oo ay ugu wacan tahay qaabka uu ka kooban yahay iyo nidaamka deegaanka. Next.js, oo ay ilaaliso Vercel, waxay noqotay hab-raac loogu talagalay dhisidda codsiyada falcelinta diyaarsan ee wax-soo-saarka leh ee samaynta-dhinaca server-ka iyo waddooyinka API.
Caannimadan awgeed, tirada la dirayo ee ay saamaysay maaha wax fudud. Cilmi-baarayaasha Wiz waxay ku qiyaaseen in ku dhawaad 40% deegaanka daruuraha ee ay baareen ay ku jiraan xaaladaha Falcelinta ama Next.js nugul. Sawirkaas sawir-qaadka ahi waxa uu soo jeedinayaa in cilladu aanay ahayn kiis cidhif ah balse ay tahay walaac guud oo ka jira ururo iyo warshado kala duwan.
Saamaynta dhabta ah ee ka faa'iidaysiga guuleysta waxay noqon kartaa mid daran. Marka ay weerarayaashu helaan kood meel fog laga fuliyo iyada oo loo marayo CVE-2025-55182 ama u nuglaanta Next.js ee la xidhiidha, waxay awood u yeelan karaan inay galaan xogta xasaasiga ah, u guuri karaan dhinaca gudaha deegaanka, beeran karaan gadaasha dambe, ama waxay u isticmaali karaan server-yada la jabiyay sidii meelaha laga soo abaabulo weeraro dheeraad ah.
Benjamin Harris, aasaasaha iyo maamulaha watchTowr, wuxuu iftiimiyay in iyadoo faahfaahinta farsamada dadwaynaha ay wali xadidan yihiin, Daabacaadda balastarrada ayaa ku filan inay hagto weeraryahannada la go'aamiyay. Markay bilaabaan inay dib u eegaan isbeddelada koodka iyo qoraallada la-talinta, waxay si weyn u fududaanaysaa in dib loo soo saaro dariiqa ka faa'iidaysiga oo lagu dhex hubeeyo duurka.
Dhaqdhaqaaqa - dhejisyada si guud u socda ka hor sixitaanka baahsan - badanaa waxay abuurtaa jinsiyad. Ururada ayaa hadda si wax ku ool ah ula tartamaya jilayaasha halista ah in la geeyo hagaajinta iyo tallaabooyinka yaraynta ka hor inta aan laga faa'iidaysan isku dayga kor u kaca.
Waa maxay sababta React2Shell ay khaas ahaan khatar u tahay
Dhowr arrimood ayaa is biirsaday si ay u nuglaantan uga dhigto mid ka duwan habka caadiga ah ee la-talinta amniga. Marka hore, La'aanta shuruudaha xaqiijinta waxay la macno tahay in weeraryahannada aan la garanayn ay si toos ah u beegsan karaan meelaha dhammaadka ah. Meel kasta oo ka mid ah qaybta server-ka ee si guud loo gaari karo isla markaaba waxay noqotaa qayb ka mid ah dusha weerarka.
Midda labaad, habka ay ciladuhu uga muuqato habaynta-dhabta dhabta ah ayaa horseedaysa Kalsoonida ka faa'iidaysiga aad u sarreeya. Sida Wiz uu soo sheegay, marka la eego qaabaynta caadiga ah dariiqa ka faa'iidaysigu waxa ay shaqaynaysay ku dhawaad mar kasta xaaladahooda caddaynta, taas oo yaraynaysa baahida silsilado weerar oo adag ama jilicsan.
Seddexaad, arintu waxay ku dhufatay udub dhexaadka sida React Qaybaha Serverka iyo Next.js ay u maareeyaan macquulka dhinaca serverka. Sababtoo ah ciladu waxay ku xidhan tahay borotokoolka RSC laftiisa ee ma aha oo kaliya muuqaal cidhiidhi ah, codsiyo badan ayaa si fudud u dhaxla khatarta iyaga oo raacaya qaababka caadiga ah ee lagu xayeysiiyay dukumentiyada rasmiga ah.
Ugu dambeyntii, guud ahaan macnaha guud ee deegaanka ayaa muhiim ah. React iyo Next.js waxay si qoto dheer ugu guntan yihiin dhismooyinka daruuraha-hooyo iyo adeeg-yaraha kaas oo awood u leh wax kasta laga bilaabo bilawga yar yar ilaa ganacsiyada waaweyn. Hal qayb oo ka mid ah qayb ka mid ah server-ka la jabiyay waxay siin kartaa meel laga soo galo jawi aad u weyn, ka adag.
Marka la isku daro, guryahan ayaa sharraxaya sababta baylahda labadaba loogu qiimeeyay heerka ugu sarreeya iyo sababta ay bulshada ammaanku u dhiirigelinayso balastar degdeg ah iyo qiimeynta khatarta ah ee firfircoon halkii la sugi lahaa oo arag.
Maxaa Durba La Sameeyay (iyo Waxa Ay Tahay In Aad Hadda Samayso)
Marka arrinta lagu soo warramey barnaamijka Meta Bug Bounty - cilmi-baare Lachlan Davidson ayaa ogaysiiyay kooxda React Noofambar 29 - ilaaliyeyaashu waxay u dhaqaaqeen inay baaraan, hagaajiyaan, oo isku duba ridaan muujinta. Mashruuca React iyo Vercel, shirkadda ka dambeysa Next.js, ayaa hadda labadaba daabacday hagitaan si ay uga caawiyaan isticmaalayaasha inay cusbooneysiiyaan barnaamijkooda.
Laga soo bilaabo dhinaca iibiyaha, siidaynta la balaadhay iyo qoraallada la-talinta ayaa qeexaya noocyada la saameeyay iyo sida loo cusboonaysiiyo. Ururada isticmaalaya Qaybaha React Server ama Next.js waa in ay si taxadar leh dib u eegaan dukumeentiyadan, aqoonsadaan geynta baaxada leh, oo jadwaleeyaan cusboonaysiinta sidii mudnaanta sare.
Marka la eego in qaabeynta caadiga ah ay nugul yihiin, si fudud loo maleynayo in "goobadaha gaarka ah" ama isticmaalka ugu yar ay bixin doonaan ilaalintu waa khatar. Kooxaha ammaanku waa inay soo ururiyaan dhammaan codsiyada ku tiirsan Qaybaha Server-ka React ama Next.js, iyadoo fiiro gaar ah loo yeelanayo meelaha si guud loo heli karo ee laga helayo intarneedka.
Iyadoo codsanaya balastar ay tahay tallaabada koowaad, sidoo kale waa macquul in la tixgeliyo dhimista muddada-gaaban. Xakamaynta soo-gaadhista aan loo baahnayn ee dadweynaha ee qaybaha server-ka ee dhammaadka, Adkeynta kontaroolada gelitaanka shabakada halka ay suurtagal tahay, iyo kor u qaadida la socodka hababka codsiga shakiga leh dhamaantood waxay yareyn karaan khatarta inta cusbooneysiinta la soo saarayo, además de revisar la gestión segura de secretos en GitHub Actions.
Ururadu waxa kale oo laga yaabaa inay rabaan inay si dhow ula shaqeeyaan kooxahooda horumarinta dib u eegis gaynta, qorshayaasha ka jawaabida shilka, iyo calaamad kasta oo waxqabad aan caadi ahayn agagaarka adeegyada React ama Next.js, incluyendo el uso de Burp Collaborator para detectar interacciones fuera de banda.
Maxay tani uga dhigan tahay nidaamka deegaanka ee Mareegta - iyo waxa la daawado
Soo bixitaanka CVE-2025-55182 iyo dhiggeeda Next.js waxay dhalinaysaa su'aalo ballaadhan oo ku saabsan sida dhaqsaha leh ee u kobcaya qaab-dhismeedka shabakadu u maareeyaan amniga sifooyin adag oo dhinaca server-ka ah. Ka fal celi Qaybaha Server-ka, iyadoo ay awood badan tahay, soo bandhig qaabab isgaarsiineed cusub iyo caqli-gal taxane ah oo u baahan baaritaan adag.
Nidaamka deegaanka ee ballaaran, dhacdadani waxay xasuusin u tahay in xitaa bislaaday, tignoolajiyada si ballaaran loo qaatay ay ku tiirsanaan karto baylahda saamaynta sare leh oo ku qotonta tafaasiisha fulinta daahsoon. Isku darka hagaajinta waxqabadka, ku habboonaanta horumariyaha, iyo API-yada dabacsan ayaa mararka qaarkood qarin kara fikradaha amniga qotodheer ilaa ay cilmi-baarayaashu tijaabiyaan walaac.
Hore u socoshada, waxay u badan tahay in labada bulsho ee React iyo Next.js ay arki doonaan xoojiyey diiradda lagu saarayo maaraynta sugan ee hawlaha server-ka, xidhidhaynta mushaharka, iyo habaynta caadiga ah. Ururada amniga miyirka qaba waxay sidoo kale riixi karaan hagitaan cad, xulasho adag oo cad oo cad, iyo dukumeenti la ballaariyay oo ku saabsan dhaqamada badbaadada leh marka la dhisayo qaybaha server-ka.
Dhanka kale, difaacayaashu waa inay si dhow ula socdaan cusboonaysiinta kanaalada rasmiga ah ee mashruuca, iibiyaasha amniga, iyo cilmi-baarayaasha sii wada inay falanqeeyaan baylahda. Cadeymaha cusub ee fikradda, sharciyada ogaanshaha, iyo talooyinka ugu dhaqsiyaha badan Waxay u badan tahay inay soo baxaan iyadoo khubaro badani ay qodayaan faahfaahinta React2Shell iyo noocyadeeda.
Ugu dambeyntii, dhacdadani waxay hoosta ka xariiqaysaa taas ilaalinta xidhmooyinka shabakadaha casriga ah waa hab socda, ma aha hawl habayn hal mar ah. Sida qaab-dhismeedyadu u kobcayaan, sidaas oo kale ayaa kor u kaca weerarradooda, iyo ururada si degdeg ah ula qabsanaya waxay u muuqdaan inay si fiican u fiicnaanayaan marka cilladaha muhiimka ahi ay soo baxaan.
Koox kasta oo ku tiirsan React ama Next.js ee wax soo saarka, CVE-2025-55182 waxay u adeegtaa sida calaamad cad: ula dhaqan sifada dhinaca serferka oo leh isla adkeynta amniga sida kaabayaasha kale ee muhiimka ah, ku sii soco talooyinka sare, oo diyaar u ahow inaad si degdeg ah u dhaqaaqdo marka arrimaha heerkan saamaynta ku leeyahay.
Daboolistani waxay soo jiidanaysaa macluumaadka markii hore ay daabaceen xarumaha diiradda saaraya amniga internetka iyo la-talinta iibiyeyaasha, taasoo muujinaysa sida React2Shell waxay si degdeg ah uga guurtay warbixinta gaarka ah una guurtay mudnaanta degdegga ah ururada shabakadaha oo dhan.
