- CVE-2025-55182 ee React iyo CVE-2025-66478 gudaha Next.js waxay awood u siinaysaa fulinta kood fog oo aan la xaqiijin iyada oo loo marayo borotokoolka Duulimaadka Qaybaha React Server.
- Arrintu waxay ka imanaysaa kala-saarid aan badbaado lahayn oo ah culaysyada mushaharka ee RSC ee la sameeyay, taas oo saamaynaysa qaabaynta caadiga ah ee qaab-dhismeedka caanka ah.
- Cilmi baadhayaashu waxay soo sheegaan ku dhawaad 100% isku halaynta ka faa'iidaysiga, waxayna qiyaasayaan in ku dhawaad 39-40% deegaanka daruuraha ay ku jiraan xaalado nugul.
- Dib u cusboonaysiinta degdega ah ee React-ka adag iyo sii daynta Next.js waa yaraynta kaliya ee qeexan; difaacayaashu waa inay sidoo kale xisaabiyaan qaab kasta oo RSC karti u leh.
Dhowrkii maalmood ee la soo dhaafay, nidaamka deegaanka ee JavaScript wuxuu la tacaalayay labo ka mid ah nuglaanta amniga ee ugu badan ee React iyo Next.js kuwaas oo albaabka u furaya fulinta code fog ee server-yada ay saamaysay. Dhaliilaha, loo qoondeeyey sida CVE-2025-55182 for React iyo CVE-2025-66478 ee Next.js, oo udub dhexaad u ah sida Qaybaha Server-ka React ay u maamulaan taraafikada shabakada khaaska ah ee waxa loogu yeero borotokoolka Duulimaadka.
Sababtoo ah arrimahan ayaa saameeya qaabeynta qaab-dhismeedka caadiga ah waxaana lagu kicin karaa wax aan ka badnayn codsi HTTP la farsameeyey, waxay si dhakhso ah u kordheen liiska ugu sarreeya ee kooxo badan oo amniga ah. Iibiyeyaasha, cilmi-baarayaasha iyo bixiyeyaasha daruuraha hadda waxay ku toosan yihiin isla farriin isku mid ah: isla markiiba dheji, qiimee soo-gaadhista, oo u diyaargarow iskaanka ballaaran iyo isku dayga ka faa'iidaysiga.
Waa maxay CVE-2025-55182 iyo CVE-2025-66478 dhab ahaantii
Xudunta dhibaatadu waa cillad ku jirta xirmo falcelin-server, qaybta awooda React Server Components (RSC) iyo borotokoolka Duulimaadka. Noocyada nugul, adeeguhu wuxuu aqbalaa rarka RSC ee qaabaysan iyo ka takhalusi iyaga oo aan ansixin ku filan, u oggolaanaysa in xogta la xakameeyo weeraryahanku inay farageliyaan caqligal ku shaqeeya server-ka.
Dabeecaddani waxa ay u beddeshaa xogta habaysan ee a gaadiidka loogu talagalay fulinta mudnaanta JavaScript dhabarka dambe. Marka codsiga HTTP uu bartilmaameedsado barta shaqada RSC ama Serverka ee leh culayska duullimaadyada xaasidnimada leh, dariiqa ka fogaanshiyaha aan badbaadada lahayn waa lagu xadgudbi karaa si loo gaaro fulinta code fog ee aan la xaqiijin (RCE). Looma baahna marin ka hor, aqoonsi ama is dhexgalka isticmaalaha.
Dhinaca falcelinta ee arrinta waxa loo daba socdaa sida CVE-2025-55182, oo lagu qiimeeyay xaga sare ee miisaanka oo leh buundada CVSS ee 10.0. Sababtoo ah Next.js waxay fulisaa RSC iyo borotokoolka Duulimaadka ee dusha sare ee kuwan asaasiga ah, waxay dhaxlisaa daciifnimada asaasiga ah ee isku midka ah; saamaynta hoose ayaa loo qoondeeyey CVE-2025-66478 waxayna xanbaarsan tahay isla qiimeynta darnaanta.
La-talinta ammaanku waxay ku tilmaamayaan cilladda a nuglaansho la'aanta macquulka ah halkii ay ka ahaan lahayd dhibaatada badbaadada xusuusta caadiga ah. Guuldarradu waxay ku jirtaa sida culayska mushaharka loo kala saaro oo loo aamino, ee maaha maaraynta kaydka heerka hoose. Si kastaba ha ahaatee, natiijadu waa sidaas oo kale: weeraryahan fog ayaa hagi kara fulinta dhinaca server-ka.
Waa kuwee React iyo Next.js dejinta waa nugul
Nuglaanta ayaa saamaysa Ka fal celi xidhmada dhinac-serverka ee 19 dhowr nooc oo inta badan la geeyo. Ilaaliyeyaasha ayaa ku dhawaaqay sii deynta sida 19.0, 19.1.0, 19.1.1 iyo 19.2.0 inay u nugul yihiin react-server xirmo iyo dhaqangelintiisa borotokoolka Duulimaadka. Laamaha goglan waxa loo qaybiyaa sidii 19.0.1, 19.1.2 iyo 19.2.1, kaas oo soo bandhigaya caqli-celinta qallafsanaanta.
Dhinaca qaab-dhismeedka, Xiga.js ayaa saameeya meel ka baxsan sanduuqa. Codsi caadi ah oo la sameeyay create-next-app, loo dhisay wax soo saarka oo la geeyey goobaha caadiga ah, waa laga faa'iidaysan karaa iyada oo aan koodka dheeraadka ah lagu darin horumariyaha. Vercel, oo ah shirkadda ka dambeysa Next.js, ayaa sidaas darteed soo saartay la-talin u gaar ah oo hoos timaada CVE-2025-66478 waxayna sii daysay noocyo qaabaysan oo la cusboonaysiiyay oo cuna xirmooyinka React go'an.
Saameyntu kuma koobna Next.js oo keliya. Qayb kasta oo ka mid ah nidaamka deegaanka xidhmooyin ama ku xidhid gelinta Qaybaha Server-ka React iyo borotokoolka Duulimaadka ayay u badan tahay inuu kashifo. Tan waxaa ku jira, iyo kuwo kale, qalabyada iyo qaab-dhismeedka sida:
- Xiga
- @vitejs/plugin-rsc (Vite RSC plugin)
- @parcel/rsc (Parcel RSC plugin)
- Ka fal celi router RSC horudhac
- RedwoodSDK/rwsdk
- Waaku
Kooxaha cilmi-baarayaashu waxay xoojiyeen taas Habaynta caadiga ah ayaa guud ahaan halis ku jirta. Si kale haddii loo dhigo, xitaa haddii horumariyuhu aanu si ula kac ah u awoodin wax calamo tijaabo ah ama goobo aan caadi ahayn, hawlgelintoodu weli waa laga faa'iidaysan karaa haddii ay isticmaasho nooca ay saamaysay ee Qaybaha Server-ka.
Sidee fudud uga faa'iidaysigu iyo sababta ay difaacyadu uga welwelsan yihiin
Waxa ka werwer geliyey amniga caqabad hoose ee ka faa'iidaysiga. Kooxo badan oo cilmi baaris ah ayaa soo wariyay in weerarrada cilladahan ay kaliya u baahan tahay in loo diro codsi HTTP si gaar ah loo farsameeyay oo la gaari karo RSC ama dhammaadka Shaqada Server-ka. Looma baahna xaqiijin, shuruudo adag ama is dhexgalka isticmaalaha, taas oo ka dhigaysa dhacdada si gaar ah u soo jiidasho leh weerarrada iswada.
Imtixaanka la kantaroolay, kooxaha sida Wiz Research waxay dhiseen cadaymo-shaqo ka faa'iidaysi fikradeed oo la arkay. ku dhow-100% isku halaynta kicinta RCE ee dejinta nugul. In kasta oo culaysyadan buuxa ee mushaharka aan weli la sii dayn, la isku raacsan yahay ayaa ah in hab-dhaqanka hoose uu yahay mid toos ah oo ku filan in kuwa kale dib u dhis ku sameeyaan ka faa'iidaysiga shaqada iyaga oo baranaya dhejisyada dadweynaha.
Marka la eego caannimada React iyo Next.js, khubaro dhowr ah ayaa aaminsan taas iskaanka tirada badan iyo hub ka dhigis waa arrin waqti kaliya. Waxaa jira isbarbardhig hore oo lagu sameeyay cilladaha kale ee saamaynta sare leh ee server-ka halkaasoo ka faa'iidaysigu kor u kacay markii tafaasiisha farsamada iyo tusaalaha kood lagu faafiyay bulshooyinka dhulka hoostiisa ah ama meelaha dadweynaha.
Cilmi-baarayaashu waxay sidoo kale muujinayaan ballaca bartilmaameedyada suurtagalka ah. Ka fal celi bogagga iyo abka ee ururada waaweyn ee warbaahinta bulshada, e-commerce, streaming, SaaS iyo in ka badan. Qaab dhismeedka sida Next.js ayaa si weyn loogu isticmaalaa codsiyada gudaha iyo macaamiisha soo jeeda labadaba, taasoo la micno ah in xaaladaha nugul ay ka muuqan karaan gudaha shabakadaha shirkadaha iyo sidoo kale wajiyada hore ee dadweynaha.
Wakhtiga qaar badan oo ka mid ah talooyinka la daabacay, waxaa jiray ma jiraan warbixino la xaqiijiyay oo ku saabsan ka faa'iidaysiga duurjoogta. Si kastaba ha ahaatee, falanqeeyayaasha ayaa sheegaya in ay macquul tahay in loo qaato in jilayaasha khatarta ahi ay mar hore dib u rogeen injineernimada hagaajinta iyo samaynta kuwa martida loo yahay ee la gaari karo oo si khaldan loo habeeyey.
Sida u baahsanaanta u-gaadhsigu u yahay guud ahaan deegaannada daruuraha
Dhawr dhibcood oo xog ah oo laga soo qaaday baadhisyada cabbirka daruuraha ayaa muujinaya baaxadda dhibaatada. Ugaadhsadayaasha hanjabaada ah ee Wiz waxay soo sheegaan in agagaarka 39% deegaanka daruuraha waxay falanqeeyeen waxay ka kooban yihiin tusaaleyaal React ama Next.js oo ordaya noocyada u nugul CVE-2025-55182 iyo/ama CVE-2025-66478. Burburka kale ayaa sawirka ka dhigaya mid u dhow 40% marka labada tignoolajiyada la wada tiriyo.
Markaad si gaar ah u eegto Next.js, qaab-dhismeedka laftiisu wuxuu muujinayaa qiyaas ahaan 69% deegaanka xog-ururintooda. Kuwaas, martigeliyaha aqlabiyad weyn Codsiyada si guud loo heli karo lagu dhisay Next.js. Si ka duwan u dhig, telemetrykoodu wuxuu soo jeedinayaa taas 44% dhammaan deegaannada daruuraha Hayso ugu yaraan hal intarneet-ka-soo-bandhige Next.js, iyadoon loo eegayn haddii uu hadda xiran yahay.
Isku darkaan cufnaanta sare ee dejinta iyo soo-gaadhista dadweynaha waa dhab waxa weeraryahanadu raadiyaan marka ay dooranayaan baylahda ay ku maalgashadaan dadaalka. Hal silsilad oo faa'iido doon ah ayaa dib loogu isticmaali karaa miisaan ka dhan ah bartilmaameedyo badan oo la mid ah, iyo aaladaha otomaatiga ah ayaa xaaqi kara dhammaan noocyada IP si loo helo adeegayaal aan la daboolin.
Bixiyeyaasha qaarkood ayaa ka shaqaynaya sidii ay u yarayn lahaayeen raadiyaha qaraxa. Tusaale ahaan, Google ayaa taas tilmaamay sawirada OS guud ee caadiga ah loo isticmaalo Google Cloud's Compute Engine maaha kuwo nuglaadaan meel ka baxsan sanduuqa, inkastoo macaamiishu ay wali u baahan yihiin inay xisaabiyaan oo ay dhejiyaan codsi kasta oo ay ku dhejiyaan sawiradaas korkooda.
Iibiyeyaasha bixiya Firewalls Codsiga Mareegta (WAFs) ayaa sidoo kale soo galaya doodda. Cloudflare, tusaale ahaan, waxay soo jeedisay in WAF-keeda ay ka caawin karto inay ka difaacdo codsiyada falcelinta ka faa'iidaysiga isku dayga marka taraafikada si buuxda loo dhex maro adeegga, in kasta oo ilaalinta noocaas ah si fiican loogu arko lakab dheeraad ah halkii ay ka beddeli lahaayeen cusboonaysiinta software-ka hoose.
Jadwalka, daahfurka iyo jawaabta iibiyaha
Silsiladda dhacdooyinka agagaarka CVE-2025-55182 iyo CVE-2025-66478 ayaa si degdeg ah u furmay. Cilmi-baaraha amniga Lachlan Davidson waxay ku garteen arinta habka ay React u dejiso culeyska mushaharka ee ku xidhan dhibcooyinka Hawl-wadeenka React oo ka warbixiyey iyada oo loo marayo barnaamijka fadliga dhiqlaha ee Meta dhammaadka Noofambar.
React, asal ahaan laga sameeyay Meta oo hadda ah tiir ka mid ah xirmooyin badan oo shabakadeed oo casri ah, ayaa si degdeg ah u dhaqaaqay markii warbixinta la xaqiijiyo. Qiyaastii afar maalmood gudahood, Kooxda React, iyagoo kaashanaya Meta, waxay soo saareen cusboonaysiin degdeg ah oo ku saabsan khadadka 19.x ee ay saameeyeen, oo ay la socoto talobixin amni oo ku boorinaysa casriyeynta degdegga ah.
Isla maalintaas Vercel waxay ku dhawaaqday la-talin u gaar ah ee Next.js ee hoos yimaada CVE-2025-66478. Ilaaliyeyaasha qaab-dhismeedka ayaa daabacay siideyn la dhajiyay, hagidda isticmaaleyaasha, iyo faahfaahinta ku saabsan sida hirgelinta RSC ee Next.js ay uga dhaxli karto dhaqanka nugul maktabadaha serverka React.
Qaar badan oo ka mid ah dadweynaha ayaa si ula kac ah wax u qoraa iska dhaaf tafaasiisha ka faa'iidaysiga tallaabo-tallaabo hadda. Taa baddalkeeda, waxay diiradda saaraan sharraxaadda khatarta, liiska qaybaha ay saamaysay iyo noocyada, iyo u tilmaamida isticmaalayaasha dhismooyin la cusboonaysiiyay. Hadafka ayaa ah in la siiyo daafacyada waqti ay ku dejiyaan hagaajinta iyada oo la dhimayo weeraryahannada aan caqli-gal ahayn.
Codadka warshadaha, oo ay ku jiraan cilmi-baarayaasha shirkadaha sida watchTowr iyo Rapid7, ayaa ku celceliyay fariinta ah in tani ay tahay Arrinta mudnaanta sare leh ee qof kasta oo ku orda React ama Next.js ee soo saarista, iyo in daaqada ka hor inta aan si cad looga faa'iidaysan ay noqon karto mid gaaban.
Maxaa kooxuhu ay tahay inay sameeyaan hadda
Ururada isticmaalaya Qaybaha React Server, Next.js ama mid ka mid ah plugins-yada karti u leh RSC iyo qaab-dhismeedka, hagida ugu cad ayaa ah taas u cusboonaysiinta noocyada adag waa yaraynta kaliya ee dhamaystiran. Ma jiro habayn beddel ah oo si badbaado leh u baabi'iya cayayaanka inta lagu jiro sii-deynta nugul.
Dhanka React, taasi waxay la macno tahay in laga guuro dhismayaasha 19.x saameeyay sida 19.0, 19.1.0, 19.1.1 iyo 19.2.0 19.0.1, 19.1.2 ama 19.2.1, iyadoo ku xiran laanta mashruuca lagu dhejiyay. Noocyadani waxay ku daraan hubinta adag ee ku saabsan culeyska borotokoolka Duulimaadka waxayna xirayaan habdhaqanka ka saarista aan badbaadada lahayn.
Isticmaalayaasha Next.js, talada waa in cusboonaysii siidaynta qaab-dhismeedkii la dhejiyay lagu dhawaaqay la-talinta Vercel, iyadoo la hubinayo in geedka ku-tiirsanaanta uu soo jiido xirmooyinka server-ka React go'an. Xataa mashaariicda aan si cad ugu isticmaalin RSC koodkooda ayaa wali la soo bandhigi karaa haddii qaab-dhismeedku awood u siiyo qaybaha server-ka hoostiisa.
Kooxaha ku tiirsan xirmooyinka kale ee karti RSC - oo ay ku jiraan Redwood, Waku, React Router RSC horudhac, iyo RSC plugins ee Vite iyo Parcel - waa in la soco kanaalada rasmiga ah laga bilaabo mashaariicdaas. Qaar badan oo iyaga ka mid ah waxay xidhxidhaan koobiyo iyaga u gaar ah oo ah Runtime server-ka React, sidaa darteed ilaaliyayaashooda ayaa daabacaya tilmaamaha cusboonaysiinta gaarka ah iyo lambarrada nooca si ay u raadiyaan.
Ururada leh raadadka daruuraha waaweyn, way adkaan kartaa in la ogaado halka ay ku nool yihiin dhammaan qaybaha nugul. Qaar ka mid ah iibiyaasha amniga, sida Wiz, ayaa bixinaya Weydiimo iyo talo-bixin hore loo dhisay gudaha goobahooda si ay uga caawiyaan macaamiishu inay ogaadaan xaaladaha React iyo Next.js ee ay saamaysay ee deegaanka oo dhan. Kuwo kale waxay samaynayaan macquulka ogaanshaha iyo shuruuc baadhiseed oo ay diyaar u yihiin kooxaha amniga gudaha si ay ula qabsadaan.
Maxay tani uga dhigan tahay nidaamka deegaanka ee ballaaran ee shabakadda
Soo ifbaxa CVE-2025-55182 iyo CVE-2025-66478 waxay dhalinaysaa dood ballaadhan oo ku saabsan sida Qaab-dhismeedka JavaScript-dhinaca server-ka waxay qabtaan qaabab taxane ah oo kakan. RSC iyo borotokoolka Duulimaadyadu waa qalab awood leh oo lagu dhisayo codsiyada casriga ah, laakiin isla dabacsanaanta awood sifada horumarsan waxay sidoo kale soo bandhigi kartaa sagxadaha weerarka ee qarsoon haddii aan si taxadar leh loo xirin.
Horumariyeyaasha, dhacdadani waxay xasuusin u tahay taas ku tiirsanaanta hab-dhaqanka qaab-dhismeedka caadiga ah ma dammaanad qaadayso badbaadada iyo muhiimadda ay leedahay in laga ilaaliyo Weerarada silsiladda sahayda ee ka dhanka ah npm. Xaaladdan oo kale, dejinta caadiga ah, kuleyliyaha ayaa ku filnaa inay soo bandhigto codsiga RCE aan la xaqiijin. La-socoshada la-talinta amniga, ku-tiirsanaanta ku-tiirsanaanta, iyo ku-dhaqanka cusboonaysiinta si dhakhso ah waxay noqonayaan hawlo aan gorgortan geli karin oo loogu talagalay kooxaha soo rara React-ama adeegyada ku saleysan Next.js.
Marka laga eego dhanka difaaca, ururadu waxay u isticmaalayaan dhacdadan inay dib u eegaan kooda xeeladaha ilaalinta lakabka ah. Qalabaynta ayaa hore iyo xarun u ah, laakiin qaar badan ayaa sidoo kale eegaya adkaynta kontaroolada gelitaanka ee goobaha maamul ama gudaha, dejinta xeerarka WAF si loo ogaado taraafikada borotokoolka Duullimaadka, iyo hagaajinta u fiirsashada khaladaadka dhinac-serverka ee muujin kara isku dayga ka faa'iidaysiga.
Xaaladdu waxay sidoo kale muujineysaa inta intarneed ee hadda ay ku xiran tahay qayb yar oo ka mid ah qaybaha isha furan ee la wadaago. Hal bug ah oo ku dhex jira maktabadda si weyn loo qaatay ayaa ku ridi karta bixiyeyaasha daruuraha, goobaha SaaS iyo jawiga ganacsiga dhowr maalmood gudahood. Shaacinta la isku dubariday, jawaabta iibiyaha degdega ah iyo isgaarsiin cad ayaa noqda mid muhiim ah marka ururo badan ay hal mar saameyso.
Hadda, diiradda ayaa ah sidii loo heli lahaa React nugul iyo rakibaadda Next.js ee sii daynta go'an ka hor ka faa'iidaysigu wuxuu noqdaa mid joogto ah. Iyadoo cilmi-baarayaashu ay ka warbixinayaan isku halaynta ka faa'iidaysiga saxda ah, qaabeynta caadiga ah ayaa ah mid nugul, iyo qayb la taaban karo oo ka mid ah jawiga daruuraha ee socodsiinaya noocyada ay saameysay, CVE-yadan waxay si dhakhso ah uga baxeen faahfaahinta borotokoolka mugdiga ah ilaa walaac hawleed oo cadaadis leh oo loogu talagalay kooxaha ilaalinaya codsiyada JavaScript ee casriga ah.
