- CVE-2025-55182 ee React iyo CVE-2025-66478 ee Next.js waxay oggolaadaan fulinta kood fog oo aan la xaqiijin iyada oo loo marayo borotokoolka Duulimaadka Qaybaha React Server.
- Cilad-xumada waxay ka timaadaa kala-saarid aan badbaado lahayn oo RSC ah, taasoo ka tagaysa React default iyo qaabaynta Next.js iyada oo aan wax isbeddelin kood ah.
- Cilmi-baarayaasha amnigu waxay soo sheegaan ku dhawaad 100% isku halaynta ka faa'iidaysiga waxayna ka digayaan in weerarada tirada badan ay u badan tahay maadaama balastar la falanqeeyay.
- Dib u cusboonaysiinta degdega ah ee React-ka adag iyo sii daynta Next.js waa yaraynta kaliya ee qeexan, gaar ahaan meelaha daruuraha ah halkaas oo ilaa ~40% laga yaabo inay nugul yihiin.
Daah furka CVE-2025-55182 ee React iyo qadiyadeeda mataanaha ah CVE-2025-66478 gudaha Next.js waxay iftiimisay sida jilicsanaanta dhinaca server-ka JavaScript u noqon karto marka borotokoollada heerka hoose ahi khaldamaan. Halkii laga ahaan lahaa bug niche, tani waa cilad fulinta code fog ee ugu badan ee garaacda xudunta u ah Qaybaha Server-ka iyo Nidaamka duulimaadka apps casri ah oo badan ayaa aamusnaan ku xiran.
Waxa kiiskan ka dhigaya mid aan si gaar ah u dejin waa taas Hababka caadiga ah ayaa kashifay. App-ka xiga ee Next.js oo la soo saaray create-next-app, loo dhisay wax soo saarka oo la geeyo iyada oo aan la helin wax ikhtiyaari ah oo aan caadi ahayn, waxaa lagu xadgudbi karaa codsi HTTP aan la xaqiijin. Ma jiro qaabayn khaldan oo qurux badan, ma jiro plugin qalaad - kaliya heerka caadiga ah ee kooxo badan ayaa soo baxa maalin kasta.
Sidee loo kashifay CVE-2025-55182 iyo CVE-2025-66478
Asalka dhibku wuxuu ku yaalaa Hirgelinta react-server kaas oo awood u siinaya Qaybaha Server React (RSC). Xirmadan waxa ay taageertaa borotokoolka Duulimaadka, kaas oo loo isticmaalo in lagu xidho xogta qaybaha taxanaha ah ee u dhexeeya macmiilka iyo adeegaha. Marka baaraha amniga Lachlan Davidson ayaa lagu sheegay habdhaqanka shakiga leh iyada oo loo marayo barnaamijka abaal-marinta kutaanka ee Meta dabayaaqadii Noofembar, waxay dejisay jawaab degdeg ah oo ka timid kooxaha React iyo Meta.
Sida laga soo xigtay la-talinta dadweynaha, baylahda ayaa la shaaciyay Arbacadii iyo balastar deg-deg ah ayaa la raray ilaa afar maalmood gudahood. Taasi waa isbeddel aan caadi ahayn oo degdeg ah oo ku saabsan arrin saameynaysa nidaamka deegaanka ee baaxadda leh, waxayna hoosta ka xariiqaysaa sida ay cilladu u daran tahay: Ilaaliyeyaasha Reacts ayaa ku qiimeeyay a Dhibcaha CVSS ee 10.0, ugu badnaan ee suurtogalka ah.
Isbarbar socda, Vercel - shirkadda ka dambeysa Next.js - la falanqeeyay sida isla cayayaanka hoose u saameeyay qaab-dhismeedkiisa. Sababtoo ah Next.js waxay isticmaashaa isla nidaamka Duullimaadka RSC ee server-ka, waxay dhaxashay daciifnimada waxaana loo qoondeeyay aqoonsigeeda, CVE-2025-66478. Vercel waxay soo saartay digniin waxayna sii daysay balastar isla maalinta la talinta React, iyada oo ujeedadu tahay in ay ka dhigto daaqada fursada weeraryahanada sida ugu macquulsan.
Inkasta oo falcelinta degdega ah, iibiyaasha amniga iyo cilmi-baarayaasha ayaa bilaabay digniin ah in weeraryahanadu ay u badan tahay in ay beddelaan injineerada hagaajinta si degdeg ah, sida lagu arkay Weerarada silsiladda sahayda ee ka dhanka ah npm. Marka koodka la dhejiyay uu noqdo mid guud, aad ayay u fududaanaysaa in la ogaado halka uu buggu ku jiray iyo in la dhiso faa'iidooyin shaqo.
Maxaa saxda ah ee ka qaldan nidaamka Duulimaadka React?
Marka la eego heerka farsamada, labadaba CVE-2025-55182 iyo CVE-2025-66478 labaduba waxay hoos ugu dhacaan. kala saarid aan badbaado lahayn ee xogta uu gacanta ku hayo weerarka gudaha borotokoolka Duulimaadka. Qaybaha Server-ka React waxay soo diraan oo helaan culaysyo habaysan, kaas oo seerfarku markaas go'do oo u isticmaalo si uu u wado socodka fulinta.
Caqliga nugul ee ku jira react-server xirmo ku guul daraystay in uu si adag u ansixiyo qaab dhismeedka iyo waxa ku jira soo socda ee RSC mushaar bixinta. Adigoo u diraya si ula kac ah u habaysan, laakiin si taxadar leh loo farsameeyay, culayska Duulimaadka ee loo dirayo shaqada Server React barta dhamaadka, weeraryahanku waxa uu saamayn karaa waxa seerfarku sameeyo marka uu xogtaas ka saaro. Halkii si fudud dib looga dhisi lahaa gobolka qayb ka mid ah, dariiqa koodka waxa loo jihayn karaa fulinta JavaScript ee mudnaanta leh ee server-ka.
Sababtoo ah cayayaanka ayaa saameeya sida borotokoolka loo kala saaray, aqoonsi looma baahna. Weeraryahanka fog wuxuu u baahan yahay oo kaliya inuu awoodo inuu u soo diro codsiyada HTTP meel kasta oo RSC ama shaqada Server-ka la gaari karo. Tani waxay baylahda u beddeshaa mid toos ah, oo aan la hubin ra'yiga RCE: soo dir codsi la farsameeyey, sug ka saarista ammaan-darrada ah, iyo culayska la saarayo wuxuu ku dhammaan karaa fulinta dhinaca dambe.
Cilmi-baarayaasha Wiz, oo si madax-bannaan u falanqeeyay arrinta, waxay ku tilmaameen inay tahay a nuglaansho la'aanta macquulka ah halkii aad ka ahaan lahayd bug falanqeyn fudud. Imtixaankooda, caddaynta si buuxda u shaqaynaysa ee ka faa'iidaysiga fikradda ayaa lagu gaadhay ku dhow-100% isku halaynta kicinta fulinta code ee bartilmaameedyada nugul.
Waa maxay sababta aan caadiga ahayn ee React iyo Next.js geynta halis ugu jiraan
Mid ka mid ah dhinacyada ugu welwelka badan ee CVE-yadan ayaa ah taas waxay saameeyaan qaabaynta ka baxsan sanduuqa. Dhibaatooyin badan oo xagga amniga ah, ka faa'iidaysigu wuxuu u baahan yahay calan sifo gaar ah, plugin naadir ah oo la isticmaalo, ama qaab geyn aan caadi ahayn. Taasi maaha arrin halkan.
Qaybaha Server-ka React iyo borotokoolkooda Duulimaadku waxay noqdeen qaybo muhiim u ah qaab-dhismeedka casriga ah ee React 19 iyo Next.js. Natiijo ahaan, dhismo-soo-saarka caadiga ah ee ay soo saartay create-next-app waxaa laga faa'iidaysan karaa eber kood dheeri ah oo ka socda soo-saare arji. Looma baahna in qofka weerarka geystay uu qiyaaso dariiqyada gaarka ah ama macquulka ganacsiga; Ku-xadgudubka dhibcaha dhammaadka RSC ee guud ayaa ku filan.
Cilladdu kuma koobna Next.js lafteeda. Qaab kasta ama qalab kasta oo xirmo ama dib u fuliyaa borotokoolka Duulimaadka RSC ee serverka waxay noqon kartaa mid nugul. La-talinta dadweynaha iyo qoraallada amniga waxay muujinayaan dhowr hab-nololeedyo ay saameeyeen:
- Xiga, qaabka ugu caansan ee saameeya hoosta
- Vite RSC plugin (
@vitejs/plugin-rsc) - Parcel RSC plugin (
@parcel/rsc) - Ka fal celi router RSC horudhac
- RedwoodSDK (badanaa loo tixraacaa sida
rwsdk) - Waaku iyo silsiladaha qalabyada kale ee karti u leh RSC
React lafteeda, cayayaanka ayaa saameeya noocyada 19.0, 19.1.0, 19.1.1 iyo 19.2.0 ee xirmooyinka khuseeya. Kuwa ilaalinaya ayaa sheegaya in kor loogu qaadayo 19.0.1, 19.1.2 ama 19.2.1 waxay siisaa habdhaqan adag waxayna ka saartaa nuglaanshaha. Next.js waxay leedahay siideyn go'an oo u dhigma kuwaas oo isku daraya macquulka ah ee server-ka React.
Qaar ka mid ah bixiyeyaasha kaabayaasha ayaa caddeeyay xuduudaha saameynta. Tusaale ahaan, Google ayaa sidaas sheegtay Sawirada guud ee OS ee Injiinka Xisaabta maaha kuwo nugul ahaan u nugul, mar haddii aysan rarin React ama Next.js diyaarsan; Khatartu waxay soo baxdaa marka isticmaalayaashu ay geeyaan noocyada ay saameeyeen ee qaab-dhismeedkaas dusha sare ee sawirada saldhigga.
Intee buu le'eg yahay raadiyaha qaraxa ka jira daruuraha?
Miisaanka arrintu waxa ay timaaddaa marka la eego sida ballaadhan React iyo Next.js loo isticmaalo wax soo saarka. React waxay taageertaa is dhexgalka isticmaaleyaasha ee aaladaha waaweyn sida Facebook, Instagram, Netflix, Airbnb, Shopify, Walmart, Asana iyo kuwa kale oo badan. Waxaa intaa dheer, barnaamijyo yaryar oo aan la tirin karin iyo dashboards gudaha ah ayaa lagu dhisay qaybo iyo qaab-dhismeedyo isku mid ah.
Kooxaha sirdoonka hanjabaada ee Wiz waxay falanqeeyeen telemetry deegaanka daruuraha waxayna ogaadeen taas ku dhawaad 39-40% dirida daruuraha waxa ku jira xaalado nugul ee React ama Next.js. Next.js oo keliya, qaab-dhismeedku wuxuu u muuqdaa qiyaas ahaan 69% deegaanka sahaminta, iyo in ku saabsan 61% ka mid ah codsiyada dadwaynaha soo jeeda ayaa ku kor socda. Markaad isu geyso boqolleydaas, waxay ka dhigan tahay qiyaas ahaan 44% dhammaan deegaanada daruuriga ah ee la arkay waxay marti galiyaan si fagaare ah dhacdooyinka Next.js, iyadoon loo eegin nooca qaab-dhismeedka saxda ah.
Isku dhafka u dhexeeya caannimada iyo baylahda ayaa ah waxa digniinta difaacayaasha. Marka xirmada ballaaran ee la geeyay ay leedahay ugu badnaan- darnaan, kutaan aan la xaqiijin RCE oo leh waddo faa'iido oo la isku halayn karo, Weerarrada fursadaha iyo kuwa la bartilmaameedsado ayaa ku dhow in la dammaanad qaado inay raacaan. Xataa ururada sida dhaqsaha leh u balama waxa laga yaabaa inay wajahaan daaqad gaaban oo meelaha ugu dambeeya laga baari karo laguna jabin karo.
Waqtiga siidaynta hore, si cad looma soo sheegin ka faa'iidaysiga duur joogta. Si kastaba ha ahaatee, cilmi-baarayaal badan oo amniga ah, oo ay ku jiraan khabiiro ka socda Rapid7 iyo watchTowr, ayaa carabka ku adkeeyay in ay macquul tahay in loo maleeyo in jilayaasha khatarta ahi ay mar hore dib u rogaal celiyeen balastarrada, iskaan ka qaadida adeegyada aan la daboolin oo ay dhisaan silsilado weerar oo toos ah.
Waxa cilmi-baarayaasha iyo iibiyayaashu ay ka sheegayaan khatarta dhiigmiirashada
Bayaanka ka soo baxay bulshada amnigu waxay bixinayaan sawir joogto ah: tani maaha dhibaato aragtiyeed, caqabada ka hortimaada gelitaanka weeraryahanna waa yar tahay. Benjamin Harris, maamulaha watchTowr, ayaa ku tilmaamay cilladda a khatarta ugu weyn ee isticmaalayaasha mid ka mid ah qaab-dhismeedka shabakadda ee ugu baahsan adduunka wuxuuna carrabka ku adkeeyay in ka faa'iidaysigu uu u baahan yahay "shuruudo yar".
Baarayaasha Wiz waxay ku celceliyeen qiimeyntaas ka dib markii ay tijaabiyeen noocyada nugul iyo kuwa la dhejiyay labadaba. Tijaabooyinkooda guduhu waxay muujiyeen in rarka la farsameeyay ee loo adeegsaday si looga faa'iidaysto xaalufinta aan badbaadada lahayn la gaadhay ku dhow-100% heerka guusha kicinta fulinta code fog ee buuxa ee adeegayaasha ay saamaysay. Waxay kaloo xuseen in weerarka uu yahay si buuxda u fog oo aan la hubin, oo ay wadato gabi ahaanba codsiyo HTTP si gaar ah loo dhisay.
Marka loo eego Rapid7, rajadu waa taas Qoraallada farsamada iyo caddaynta ka faa'iidaysiga fikradda waxay soo bixi doonaan marka dad ku filan ay kala saaraan balastarrada. Taas, iyaduna, waxay u badan tahay inay huriso iskaan-qaadid ballaadhan iyo isku dayo ka faa'iidaysi badan, gaar ahaan ka dhanka ah bay'adaha daruuraha oo leh abka badan ee internetka soo wajahan.
Xataa meel ka baxsan beesha iibiyaha, Warbahinta warshadaha ayaa u qaabeeyay CVE-yadan inay khatar gelinayaan qayb muhiim ah oo ka mid ah internetka. Warbixintu waxay iftiimisay ma aha oo kaliya darnaanta cayriin laakiin sidoo kale tirada goobaha macaamiisha ee waaweyn, aaladaha SaaS iyo API backends ee ku tiirsan React iyo Next.js xagga hore iyo samaynta dhinaca server-ka.
Tallaabooyinka yaraynta: waxa React iyo Next.js isticmaalayaashu waa inay hadda sameeyaan
Kooxaha ku hawlan React ama Next.js xagga wax soo saarka, hagidda ka timaadda ilaaliyayaasha iyo cilmi-baarayaashu waxay isugu yimaadaan qodob fudud: cusboonaysiinta noocyada la dhejiyay ayaa ah hagaajinta kaliya ee qeexan. Ma jiraan wax beddelka qaabeynta ama xeerarka WAF-ga guud oo si buuxda u xalin kara hab-dhaqanka ka-saaris-xumada ee hoose ee borotokoolka Duulimaadka.
Kooxda React waxay ku talinayaan in qof kasta oo ku jira laamaha ay saamaysay u guuro siidaynta adag 19.0.1, 19.1.2 ama 19.2.1, hubinta in react-server xirmo ayaa lagu daray update. Next.js, Vercel ayaa daabacday dhismayaal go'an oo isku dhafan maaraynta RSC ee la xidhay. Maamulayaashu waa inay la tashadaan la-talinta rasmiga ah ee Next.js si ay u go'aamiyaan nooca ugu yar ee nabdoon ee khadka siideynta ee ay doorteen.
Ururada ku tiirsan kuwa kale Qaab dhismeedka karti u leh RSC - sida Redwood, Waku, React Router's RSC preview, ama Vite iyo Parcel RSC plugins - ayaa lagula talinayaa hubi qoraalada sii deynta ee u dhigma iyo kanaalada amniga. Xaalado badan, mashaariicdani waxay si fudud u duubaan ama xidhaan qaybaha server-ka React, markaa dib u cusboonaysiinta lafteeda ka dibna jiidida dib u eegis qaabdhismeedka ugu dambeeyay ayaa loo baahan yahay.
Marka laga soo tago dhejinta tooska ah, aaladaha diirada saaraya daruuraha ayaa loo isticmaalaa in lagu sameeyo ugaarsiga xaaladaha nugul ee miisaanka. Macaamiisha Wiz, tusaale ahaan, waxay taabsi karaan su'aalaha iyo la-talinta xarunta Wiz Threat Center si ay u helaan halka ay saamaysay noocyada React ama Next.js la geeyo deegaankooda. Ururada kale waxay isticmaalayaan agabka agabka, xogta SBOM iyo baadhista weelka si loo gaadho muuqaal la mid ah.
Haddii ay jirto wax calaamad ah oo muujinaya in nidaamyada mar hore la bartilmaameedsaday ama la jabsaday iyada oo loo marayo CVE-yadan, Taageerada jawaabta dhacdada ayaa lagula talinayaa. Iibiyeyaasha qaar ayaa si gaar ah ugu martiqaada macaamiisha ka shakisan ka faa'iidaysiga CVE-2025-55182 ama CVE-2025-66478 si ay ula xiriiraan kooxahooda IR si ay uga caawiyaan kala soocida, xakameynta iyo baaritaanka.
Waxa tani ay muujinayso ee ku saabsan nidaamka deegaanka ee JavaScript
Inkasta oo balastarrada React iyo Next.js ay xiraan daloolka isla markiiba, Dhacdadu waxay dhalinaysaa su'aalo ballaadhan oo ku saabsan sida qaab-dhismeedka JavaScript-ka ee dhinaca server-ku u maamulo xogta aan la aamini karin. Hab-maamuusyada sida Duullimaadku waxay si qoto dheer u fadhiyaan raafka, oo qarsoon gadaasha waxyaabaha aan soo koobin ee horumariyayaashu ay dhif u ahaadaan inay si toos ah u baadhaan, taas oo macnaheedu yahay cilladuhu waxay yeelan karaan saameyn ballaaran ka hor intaan la dareemin.
Xaqiiqda taas habdhaqanka nugul ayaa lagu soo raray qaab-dhismeedyo si weyn loo dalacsiiyay waxa kale oo ay muujisaa xiisada u dhaxaysa khibrada horumariyaha iyo nakhshad badbaado leh. Astaamaha ka dhigaya dhisitaanka abka casriga ah mid sahlan - sida qaybaha server-ka iyo is-xigxiga aan kala go 'lahayn ee u dhexeeya macmiilka iyo serferka - waxay si aamusnaan ah u soo bandhigi karaan dusha sare ee weerarka.
Kooxaha amniga, kiiskani waa xasuusin kale taas Nuglaanta heerka qaab-dhismeedka ayaa isla markaaba isu rogi kara soo-gaadhsiin ballaadhan oo urureed. Hal bug oo ka mid ah qayb caan ah oo furan ayaa laga yaabaa inay ka soo muuqato wadnaha daraasiin codsiyo gaar ah, adeeg yar iyo qalab gudaha ah, gaar ahaan marka weelasha iyo qaab-dhismeedka dib loo isticmaalo.
Dhanka togan, jawaabta ka timid kuwa ilaaliya React, Meta iyo Vercel ayaa muujinaya taas siidaynta isku dubaridan iyo horumarinta balastar degdega ah ayaa suurtagal ah xitaa nidaamyada deegaanka ee waaweyn. La-talin cad, hagaajin qaabaysan iyo isku-dubbarid bixiyeyaasha amniga ayaa ka caawiyay difaacayaasha inay mudnaan siiyaan arrintan iyada oo ay jiraan dayacanno badan oo tartamaya.
Iyadoo horay loo eegayo, goobjoogeyaal badani waxay filayaan in baadhitaan joogto ah lagu sameeyo serialization, serialization iyo borotokoolka falanqaynta macquulka ah ee qaab-dhismeedka web. Haddii CVE-2025-55182 iyo CVE-2025-66478 ay kiciyaan tijaabin nidaamsan iyo xaqiijin adag oo ah qaybaha sida Duulimaadka, qaar ka mid ah faa'iidooyinka amniga ee muddada-dheer ayaa laga yaabaa inay ka soo baxaan dhacdo kale oo halis ah.
Hadda, kooxaha ku orda xirmooyinka React ama Next.js waxay ku jiraan tartan u dhexeeya dhejinta balastar iyo automation weeraryahan. Iyada oo ugu badnaan-darnaanta RCE ay saameynayso qaabeynta caadiga ah, joogitaanka daruuraha ballaaran iyo farsamooyinka ka faa'iidaysiga kalsoonida sare ee horeyba loogu muujiyey cilmi-baarista, ilaalinta deegaankan ammaan waxay hoos ugu dhacdaa sida ugu dhakhsaha badan ee ururadu u aqoonsan karaan halka ay ku sugan yihiin oo ay wax walba u raraan siidaynta adag.
