- CVE-2025-55182 ee React iyo CVE-2025-66478 ee Next.js waxay awood u siinaysaa fulinta kood fog oo aan la aqoonsan iyada oo loo sii marayo habka React Server Qaybaha "Duulida" borotokoolka.
- Cayaanku wuxuu ka yimaadaa kala-saarid aan badbaado lahayn oo lagu sameeyay culayska mushaharka ee RSC wuxuuna saameeyaa qaabab badan oo qaabayntooda caadiga ah.
- Cilmi baadhayaashu waxay arkeen ku dhawaad 100% inay ka faa'iidaystaan isku halaynta waxayna qiyaaseen in ku dhawaad 39-40% deegaanka daruuraha ay maamulaan xaaladaha Falcelinta/Next.js nugul.
- Dib u cusboonaysiinta degdega ah ee React-ka adag iyo sii daynta Next.js ayaa ah yaraynta kaliya ee qeexan, iyadoo waratada ay horay u rareen balastar iyo hagitaan.
Dhawrkii maalmood ee la soo dhaafay, kooxaha amniga adduunka oo dhan ayaa ku taamayay in ay qiimeeyaan laba cayn oo dhowaan la shaaciyay oo ku jira nidaamka deegaanka React: CVE-2025-55182 gudaha Qaybaha Server-ka React iyo CVE-2025-66478 gudaha Next.js. Cilladahani waxay albaabada u furayaan fulinta koodka fog fog ee buuxa ee server-yada waxayna kiciyeen qaylo-dhaan sababtoo ah waxay kicin karaan aqoonsi la'aan iyo dadaal aad u yar oo ka yimaada weerarka.
Arrintu waxay si toos ah u gooysaa udub dhexaadka kaabayaasha JavaScript ee casriga ah. React iyo Next.js waxay awoodaan wax kasta laga bilaabo mashaariicda yaryar ilaa meelaha ay isticmaalaan shirkadaha waaweyn, iyo qayb laxaad leh oo culeyska shaqada daruuriga ah ayaa ku tiirsan iyaga. Iyadoo cilmi-baarayaashu ay ka digayaan Ka faa'iidaysiga ballaaran ee dhow iyo ku dhawaad ka faa'iidaysiga isku halaynta, kooxaha horumarinta iyo hawlgallada ayaa lagu booriyay inay u guuraan dhejinta liiska shaqada ee ugu sarreeya.
Waa maxay CVE-2025-55182 iyo CVE-2025-66478 dhab ahaantii
Xudunta dhibaatadu waa Ka falcelinta Qaybaha Server-ka (RSC) borotokoolka "Duulida"., hannaan la soo bandhigay si loo maareeyo socodka gudbinta ee uu wado server-ku. CVE-2025-55182 waa tilmaanta loo qoondeeyay nuglaanta iyada react-server xirmo, halka CVE-2025-66478 waxay dabooshaa cilada u dhiganta ee Next.js, kaas oo gundhig u ah oo fidinaya borotokoolkan.
Nuglaanta asal ahaan waa a cilad ka saarista macquulka ah ee habka lacag bixinta RSC loo habeeyo. Marka server-ku helo culayska Duullimaadka oo si gaar ah loo farsameeyay, oo khaldan, hirgelintu waxa ay ku guul daraysatay in ay si fiican u ansixiso qaab-dhismeedka ka hor inta aan lagu dhaqmin. Kormeerkaasi waxa uu u sahlayaa xogta uu gacanta ku hayo weeraryahanku in ay gasho meelo ay saamayn ku yeelan karto fulinta dhinaca server-ka.
Marka la eego macnaha dhabta ah, tani waxay la macno tahay weeraryahanku wuxuu soo diri karaa hal keliya Codsiga HTTP habaysan ee Shaqada Server React ama barta dhamaadka RSC. Marka server-ku uu meesha ka saaro culayskaas, waxa lagu qasbi karaa in uu socodsiiyo koodka JavaScript-ka ee aan sharciga ahayn ee leh mudnaanta nidaamka server-ka, isaga oo u beddelaya codsi fudud fulinta code fog oo buuxa (RCE).
Kooxaha amniga iyo iibiyayaashu waxay ku tilmaamaan CVE-yada inay leeyihiin a ugu badnaan buundada CVSS ee 10.0, qiimeynta ugu sareysa ee suurtogalka ah. Taasi waxay ka tarjumaysaa isku darka fogaanta la gaari karo, la'aanta shuruudaha xaqiijinta, iyo suurtagalnimada tanaasul dhammaystiran ee deegaanka ay saamaysay.
Waa maxay sababta qaabaynta aan caadiga ahayn loo qaawiyey
Hal tafatiran oo walaac gaar ah kicisay ayaa ah in cayayaankani ay saameeyaan dejinta caadiga ah oo aan lahayn qaabayn aan caadi ahayn. Codsiga caadiga ah ee Next.js oo leh create-next-app, oo loo soo ururiyey wax-soo-saarka, oo la geeyey ikhtiyaari ikhtiyaari ah waxay noqon karaan kuwo si toos ah u nugul sanduuqa dhexdiisa.
Qaar badan oo kale ayaa sidaas oo kale ah Qaab dhismeedka RSC karti u leh iyo qalabaynta ee isku xidha react-server fulinta. Sababtoo ah waxay qaateen borotokoolka Duulimaadka sida React u naqshadeeyay, waxay dhaxleen hab-dhaqanka ka-baxsanaanta ammaan-darrada ah. Horumariyayaashu uma baahna inay ku daraan sifooyin qalaad ama caqli-gal caadadii ah si ay cilladu u noqoto mid laga faa'iidaysan karo.
Soo-gaadhistan caadiga ah waxay kor u qaadaysaa khatarta ay weeraryahannadu awoodaan ka baadh interneedka RSC ama Server Function-ka dhamaadka oo si degdeg ah ugu turunturoodo bartilmaameedyada suurtagalka ah. Looma baahna shahaadooyin la xaday ama marin hore u jiray: haddii meelaha ugu dambeeya ee khuseeya laga heli karo intarneedka dadweynaha oo ay maamulaan noocyo nugul, waxay ku sugan yihiin aagga khatarta ah.
Cilmi-baarayaasha amnigu waxay ku nuuxnuuxsadaan in xitaa ururada leh barnaamijyada amniga ee bislaaday ay saameyn ku yeelan karaan sababtoo ah RSC waxaa inta badan loogu suurtageliyaa si aan toos ahayn iyada oo loo marayo cusboonaysiinta qaabdhismeedka iyo qaab-dhismeedka, kooxaha qaarna waxa laga yaabaa in aanay garan in ay u isticmaalayaan wax soo saarka.
Baaxadda saamaynta guud ahaan hab-nololeedyada React iyo Next.js
Falanqeynyo dhowr ah ayaa isku mid ah qaadis isku mid ah: cabbirka radius qaraxu waa mid aan caadi ahayn oo weyn. Xogta laga helay Wiz Research waxay soo jeedinaysaa in hareeraha 39% ilaa 40% deegaanka daruuraha waxa ku jira React ama Next.js xaaladaha u nugul CVE-2025-55182 iyo/ama CVE-2025-66478. Taasi waa qayb muhiim ah oo ka mid ah lakabka codsiga internetka ee dadweynaha.
Dhibaatadu kuma koobna oo kaliya rakibaadaha React ee taagan. Next.js, gaar ahaan, waa mid aad u baahsan: waxa ay u muuqataa in ku dhow 69% deegaanka lagu arkay xog-ururinta, iyo badi kuwa ay wataan abka Next.js ee soo jeeda dadweynaha. Isku darkaas macneheedu waa in qayb weyn oo ka mid ah guryaha daruuraha ay si toos ah u soo bandhigaan meelaha ugu dambeeya ee taraafikada aan la aamini karin.
Marka la eego qaybo gaar ah, arrintu way saamaysaa Ka fal celi 19.0, 19.1.0, 19.1.1, iyo 19.2.0 taxane ah oo ay ku jiraan cilladaha react-server hirgelinta. Dhanka qaab-dhismeedka, dhowr qalab oo caan ah oo isku dara RSC ayaa sidoo kale lug ku leh. Iyadoo saamaynta saxda ah ay kala duwan tahay, liiska tignoolajiyada ee la xidhiidha borotokoolka nugul waxaa ka mid ah:
- Xiga
- Vite RSC plugin (
@vitejs/plugin-rsc) - Xidhmada RSC plugin (
@parcel/rsc) - Ka fal celi router RSC horudhac
- RedwoodSDK
- Waaku
Cilmi-baarayaashu waxay ku nuuxnuuxsadeen taas qaab kasta ama maktabadda xidhidhiyaha ay saameeyeen react-server fulinta waxay u badan tahay inay baaxad leedahay, xitaa haddii aan si cad loogu taxay talobixinaha hore. Ururada waxa lagula talinayaa in ay tixgaliyaan isticmaalkooda RSC dhamaan agabka wax lagu dhiso, horudhacyada, iyo mashaariicda tijaabada ah, ma aha oo kaliya barnaamijyada wax soo saarka taraafikada.
Bixiyeyaasha daruuraha ayaa bilaabay inay sidoo kale ka falceliyaan. Tusaale ahaan, mid iibiye ah ayaa xusay taas Sawirradeeda caadiga ah ee OS dadweynaha ee mashiinnada farsamada gacanta laguma raro qaybaha falcelinta ee nugul ee si toos ah u shaqeeya, inkastoo taasi aysan gaashaanka u daruurin culeyska shaqada ee macaamiishu ku rakibaan oo ay habeeyaan React ama Next.js laftooda.
Sida ka faa'iidaysigu u shaqayso iyo sababta isku halayntu ay aad u sarayso
Iyadoo waratada ay si ula kac ah dib ugu celinayaan qaar ka mid ah faahfaahinta ka faa'iidaysiga heerka hoose si ay u siiyaan difaacayaasha waqti ay ku dhejiyaan, dulucda guud waa mid guud. Heer sare, weeraryahanku wuxuu u baahan yahay oo kaliya samee codsi HTTP ah oo sita culays gaar ah oo RSC ah oo khaldan loogu talagalay barta dhamaadka server-ka ee kala saarta xogta Duullimaadka.
Sababtoo ah dariiqa koodka nugul waa qayb ka mid ah caqligal ka-saarista caadiga ah, ma jirto wax shardi ah in dhibbanuhu wax gujiyo, galo, ama sameeyo hawl-socod tillaabo badan leh. Ilaa iyo inta uu weerarku gaari karo Function Server ama RSC barta dhamaadka, waxay isku dayi karaan inay kiciyaan khalkhal aan badbaado lahayn oo ay ku jiheeyaan fulinta culayska ay iyagu leeyihiin.
Imtixaanka, kooxaha amnigu waxay sheegeen in ka faa'iidaysigu muujiyay "daacadnimo sare", iyadoo heerarka guushu ay ku dhow yihiin 100% mar haddii la fahmay qaabaynta bartilmaameedka. Kalsoonida noocaan ah waa wax aan caadi ahayn ka faa'iidaysiga fog waxayna sare u qaadaysaa jaangooyooyinka in weerarayaashu ay si otomaatig ah u sawiri karaan oo ay u dhimi karaan cabbirka.
Khubarada ayaa sidoo kale ka digaya taas dhejisyada iyo la-talinta hadda-dadweynaha ah ayaa si wax ku ool ah ugu adeegaya sidii khariidad waddo ee injineernimada. Xitaa haddii aan weli si ballaaran loo sii dayn koodhka ka faa'iidaysiga, jilayaasha khatarta ahi waxay baran karaan faraqa u dhexeeya noocyada nugul iyo kuwa go'an si ay dib ugu dhisaan macquulka nugul oo ay hubiyaan, un riesgo similar a la cadina de suministro de npm.
Sida warbixinadii ugu dambeeyay, ma jiraan kiisas la xaqiijiyay oo ah ka faa'iidaysiga baahsan ee duurjoogta ah, laakiin iibiyayaal badan oo amniga iyo cilmi-baarayaashu waxay filayaan inay si dhakhso ah isu beddelaan. weeraryahanadu waxay u tartamaan inay ka faa'iidaystaan nidaamyada aan la daboolin ka hor intaanay ururadu dhamaystirin dadaalkooda dib u habeynta.
Jawaabaha iibiyaha iyo balastar la heli karo
Helitaanka CVE-2025-55182 ayaa loo tixgaliyaa cilmi-baare amniga Lachlan Davidson, kaasoo arrinta uga warbixiyey barnaamijka abaal-marinta cayayaanka ee Meta. Laga soo bilaabo siidaynta bilawga ilaa sii daynta balastarrada, soojeedintu waxay ahayd si aan caadi ahayn oo degdeg ah, taasoo ka tarjumaysa darnaanta cayayaanka iyo gaaritaanka guud ahaan nidaamka deegaanka ee shabakada.
Kooxda React ayaa soo rartay noocyada adag ee xirmooyinka ay saameeyeen. Maktabada xudunta u ah, ilaaliyeyaashu waxay tilmaamayaan cusboonaysiinta sida React 19.0.1, 19.1.2, iyo 19.2.1 iyo kala duwanaansho la isku dhejiyay oo u dhigma oo ka kooban qaybaha la xidhiidha sida xidhitaanka daloolka gaarka ah ee hab-maamuuska Duullimaadka.
Dhinaca qaab-dhismeedka, Vercel, kaas oo ilaaliya Next.js, loo qoondeeyay CVE-2025-66478 saamaynta hoose ee isla cilladda RSC oo ay sii daysay nooca Next.js ee la cusboonaysiiyay ee ku jira habdhaqanka Qaybaha React Server go'an. La-talintooda ammaanku waxay sharraxaysaa in baylahdu ka timi habka React u dejiso culayska mushaharka Dhamaadka shaqada Server-ka iyo in balastarku adkeeyo hab-dajinta codeeynta.
Qaab dhismeedka kale iyo qorayaasha plugin ee ku tiirsan RSC-sida kuwa ilaaliya Redwood, Waku, iyo RSC plugins ee Vite iyo Parcel—ayaa bilaabay soo saarida hagitaankooda iyo cusbooneysiintooda nooca oo la jaan qaadaya la dhajiyay react-server code. Isticmaalayaasha waxaa lagu farayaa inay raacaan ogeysiisyada mashruuca gaarka ah iyo tilmaamaha cusboonaysiinta.
Dhowr bixiyeyaasha amniga ganacsiga ayaa sidoo kale ka jawaabay. Tusaale ahaan, Wiz waxa uu daabacay su'aal horay loo dhisay iyo la-talin Xarunteeda Khatarta ah si ay macaamiishu u ogaadaan xaaladaha nugul ee deegaankooda, halka iibiyeyaasha kale ay sheeganayaan in Dab-damiska qaar ka mid ah codsiyada webka ayaa laga yaabaa inay xannibaan qaar ka mid ah isku dayga ka faa'iidaysiga haddii gaadiidka React si sax ah loo maro iyaga. Si kastaba ha ahaatee, ilaaliyeyaashu way cad yihiin in habaynta qaabaynta ama xeerarka WAF aanay bedel u ahayn dhejinta saxda ah.
Qiimaynta khatarta: yaa welwelka badan leh?
Jawaabta oo kooban waa taas urur kasta oo ku shaqeeya React 19 ama qaab-dhismeedka ku-tiirsanaanta RSC ee wax soo saarka waa inay tan si dhab ah u qaataan, laakiin qaababka geynta qaarkood ayaa u muuqda inay si gaar ah u qaawan yihiin. Codsiyada soo socda ee dadwaynaha ee Next.js, tusaale ahaan, waxay soo bandhigaan yool soo jiidasho leh sababtoo ah inta badan waxay si toos ah ugu fadhiyaan internetka waxayna leeyihiin astaamo RSC oo si toos ah u shaqeeya.
Ururada sida aadka ah u isticmaala Hawlaha Server-ka, marin-ku-wareejinta uu wado server-ka, horu-u-eegista, ama sifooyin ku-saleysan RSC oo tijaabo ah ayaa si gaar ah khatar ugu jira. Hababkan, culayska duullimaadyadu waxay u badan tahay in si joogto ah loo farsameeyo, taasoo siinaysa ka soo horjeeda fursado badan oo ay ku tijaabiyaan culayska lacag bixinta iyo sifaynta ka faa'iidaysiga.
Deegaannada la wadaago ama kiraystayaasha badan waxay kor u qaadaan walaacyo dheeraad ah. Haddii adeegga falcelinta nugul uu ku shaqeeyo marin ballaadhan oo loo heli karo ilaha gudaha, a RCE-da guulaysata waxa ay noqon kartaa bar bilow ah dhaqdhaqaaqa dambe ee qoto dheer ee shabakada ama xuduudaha macaamiisha.
Falanqeeyayaasha ayaa sidoo kale tilmaamaya in Baaxadda korsashada React- ee shirkadaha sida Meta, Netflix, Airbnb, Shopify, Walmart iyo kuwa kale oo badan-macnaheedu waa in saamaynta dhabta ah ee dunidu aanay ku koobnayn xisaabinta khatarta farsamada oo keliya. Isu tanaasulka xirmada dalabka weyn waxay yeelan kartaa saameyn aan kala go 'lahayn dhammaan isticmaalayaasha, la-hawlgalayaasha, iyo nidaamyada deegaanka ee hoose.
Ugu dambeyntii, xitaa kooxaha aaminsan inaysan si weyn ugu tiirsanayn RSC waa inay xaqiijiyaan malahaas. Sababtoo ah qalabaynta iyo kuleyliyayaasha waxay si degan awood u siin karaan sifooyinka RSC, Mashaariicda qaar ayaa laga yaabaa in ay si aad ah u soo shaac baxaan marka loo eego kuwa ilaaliyayaashooda jaleecada hore.
Talaabooyinka yaraynta wax ku oolka ah ee isticmaalayaasha React iyo Next.js
Talooyinka oo dhan, hal dhibic ayaa si joogto ah loogu celceliyaa: cusboonaysiinta noocyada la dhejiyay ayaa ah hagaajinta kaliya ee qeexan. Ma jiro calan qaabeyn ama tweak yar oo si buuxda u baabi'inaya habdhaqanka ka-saaris-xumada ee hoose iyada oo aan la cusboonaysiin xirmooyinka ay saamaysay.
Ururada si toos ah u isticmaalaya React, ilaaliyayaashu waxay ku talinayaan U guurista siidaynta adag-sida 19.0.1, 19.1.2, 19.2.1 ama ka cusub- oo ay weheliso la cusboonaysiiyay react-server iyo xirmooyinka RSC ee la xiriira. Kooxuhu waa inay la tashadaan la-talinta amniga ee React ee rasmiga ah si loo xaqiijiyo noocyada saxda ah ee ka hadlaya CVE-2025-55182 geedka ku-tiirsanaanta.
Next.js mashaariicda waa in la mid ah cusboonaysii noocyada qaab-dhismeed la dhejiyay oo ay ku jiraan hagaajinta CVE-2025-66478. Sababtoo ah dhismaha Next.js ee caadiga ah ayaa ku filan in la saameeyo, xitaa goobaha yaryar iyo dashboards gudaha waxay mudan yihiin feejignaan, maaha kaliya codsiyada calanka.
Deegaannada isticmaalaya qaababka kale ee karti u leh RSC-sida Redwood, Waku, ama RSC plugins ee xirmooyinka sida Vite iyo Parcel-talada ayaa ah in si dhow ula soco ogeysiisyada iibiyaha oo dir wixii cusbooneeysiin ah ee xirma kuwa adag react-server fulinta isla marka la helo. Meeshii ay suurtagal tahay, jawiga diyaarinta waa in loo adeegsadaa si loo ansixiyo dhaqanka codsiga ka hor inta aan la hagaajin wax soo saarka y aplicar prácticas como la gestión segura de secretos en GitHub Actions.
Iyadoo ay barbar socoto balastar, kooxaha ammaanku way awoodaan ka baadh noocyada nugul iyo meelaha ugu dambeeya ee bannaan. Aaladaha laga helo iibiyeyaasha sida Wiz waxay gacan ka geysan karaan in la aqoonsado meelaha u nugul falcelinta ama xaaladaha Next.js ka socdaan, halka iskaanadaha amniga webka iyo agabka hantida ay khariidad karaan adeegyada laga heli karo intarneedka iyo in lagu xaddido shabakadaha gudaha.
Maxay tahay in difaacayaashu ay daawadaan xilliga dhow
Shaacinta CVE-2025-55182 iyo CVE-2025-66478 waxay muujineysaa qaab la yaqaan: cayayaanka halista ah ee dusha sare ee qaybaha aadka loo isticmaalo, si deg deg ah u degto, ka dibna tartan wuxuu u dhexeeyaa difaacayaasha iyo weeraryahannada. Xaaladdan oo kale, isku-darka a 10.0 Dhibcaha CVSS, RCE aan la xaqiijin, iyo soo-gaadhista caadiga ah ka dhigaya tartankaas gaar ahaan mid daran.
Baarayaasha amnigu waxay filayaan in wejiga xiga uu ku lug yeelan doono injineernimada rogaal celiska degdega ah ee balastarrada by jilayaasha hanjabaad. Xataa iyada oo aan si faahfaahsan loo sii dayn code caddaynta, isbarbardhigga noocyadii hore iyo kuwa cusub waxay siinaya tilmaamo ku filan weeraryahannada xirfadda leh si ay dib ugu dhisaan macquulnimada nugul.
Ururadu waa inay filayaan kor u kac Sawirka React iyo Next.js dhamaadka, iyo sidoo kale codsiyo badan oo HTTP ah oo baaritaan ah oo loogu talagalay Shaqada Serverka iyo URL-yada RSC. Nidaamyada gaynta iyo la socodka ayaa door ka ciyaari kara halkan: culeyska duulimaadka ee aan caadiga ahayn ama habaysan, khaladaadka lama filaanka ah inta lagu jiro kala-soocida, iyo kor u kaca codsiyada meelaha dhamaadka ah waxay noqon kartaa tilmaamayaasha hore ee isku dayga ka faa'iidaysiga, y las herramientas de prueba como Iskaashatada Daac pueden ayudar iyo xididdada taranka.
Difaacayaasha qaar ayaa sidoo kale dib u booqanaya kontaroolada qoto dheer ee difaaca agagaaraha hawlgaladooda React. Taas waxaa ka mid noqon kara ku-wareejinta taraafikada iyada oo loo marayo firewalls codsiga webka, adkeynta soo-gaadhista shabakada adeegyada gudaha, iyo xoojinta qaabaynta mudnaanta ugu yar ee oggolaanshaha runtime codsiga si tanaasulku aanu si toos ah u siinin marin ballaadhan.
Kooxaha ka jawaabaya shilka ayaa lagula talinayaa u diyaari baadhitaanada suurtagalka ah ee ku lug leh CVE-yadan. Taasi waxay ku lug yeelan kartaa cusboonaysiinta buugaagta ciyaarta, hubinta in diiwaannada la xidhiidha la hayo muddo dheer si loo falanqeeyo dabeecadaha laga shakiyo, iyo samaynta xidhiidho bixiyayaasha adeegga ama iibiyeyaasha amniga kuwaas oo caawin kara haddii tanaasul la tuhunsan yahay.
Guud ahaan guddiga, farriinta ka timid cilmi-baarayaasha, iibiyeyaasha, iyo bixiyeyaasha daruuraha ayaa ah mid joogto ah: iyada oo aan weli si cad loo xaqiijinin ka faa'iidaysiga baahsan, xaaladaha farsamo ayaa tan ka dhigaya bartilmaameed soo jiidasho leh, iyo sugitaanka balastar waxay si weyn u kordhisaa khatarta daaqada.
Kutaannada fulinta code fog ee muhiimka ah sida CVE-2025-55182 ee React iyo CVE-2025-66478 gudaha Next.js, qaadashada la taaban karo waa toos: Ka soo qaad in meelaha ugu dambeeya ee RSC ee nugul la baari doono, mudnaantana la siin doono cusboonaysiinta noocyada adag, iyo in la isticmaalo agabka la heli karo si loo helo loona ilaaliyo dhacdooyinka qaawan.. Shabakadda shabakadda ee si weyn ugu tiirsan React iyo qaab-dhismeedkeeda ku xeeran, dib-u-habaynta waqtiga ku habboon hadda waxay u badan tahay inay bixiso xaalado degdeg ah oo yar ka dib.
