CVE-2025-55182 iyo CVE-2025-66478: RCE Ba'an ee Qaybaha Server-ka React iyo Next.js

Bogga Hore » Python » CVE-2025-55182 iyo CVE-2025-66478: RCE Ba'an ee Qaybaha Server-ka React iyo Next.js

Soo helitaankii CVE-2025-55182 ee React iyo wehelkeeda CVE-2025-66478 gudaha Next.js ayaa digniin cad u dirtay caalamka horumarinta shabakada casriga ah. Arrimahani waxay soo bandhigaan server-yada isticmaalaya Qaybaha React Server (RSC) iyo qaab-dhismeedyada fulinaya borotokoolka RSC "Duulida" fulinta code fog ee aan la xaqiijin, xitaa marka la socdo heer dhammaystiran, qaabeynta sanduuqa ka baxsan.

Waxa xaaladan ka dhigaya mid murugo gaar ah leh waa sidee dadaal yar uu u baahan yahay weeraryahan si loo hubeeyo cilladda: Codsiga HTTP la sameeyay ee looga dan leeyahay barta ugu dambeysa ee nugul ayaa ku filnaan karta in lagu socodsiiyo koodka gardarrada ee server-ka. Iyada oo qayb weyn oo ka mid ah deegaanka daruuraha ay ku tiirsan yihiin React iyo Next.js, degdegga maamulayaasha iyo horumariyeyaashu inay balastar ka sameeyaan way adag tahay in la dhaafo.

Fahamka CVE-2025-55182 iyo CVE-2025-66478

CVE-2025-55182 waxaa loola jeedaa bug xudunta ah ee react-server xirmo, qayb ka mid ah oo xoojinaysa Qaybaha Server React iyo borotokoolkooda "Duulida". Xirmadan ayaa mas'uul ka ah maaraynta culaysyada khaaska ah ee la isticmaalo marka qaybaha serfer-ka loo daadgureeyo macmiilka, hab udub dhexaad u ah nidaamka deegaanka cusub ee React 19.

Isbarbar socda, CVE-2025-66478 waxay qabtaa saamaynta Next.js, kaas oo isku xidha Qaybaha Server-ka React oo dib u isticmaala isla borotokoolka hoose. Sababtoo ah Next.js waxay si toos ah u dhistaa dusha sare ee kaabayaasha RSC, daciifnimo kasta oo ku jirta borotokoolka waxaa isla markiiba dhaxla codsiyada caadiga ah ee Next.js, oo ay ku jiraan kuwa kabaha leh sida qalabka sida create-next-app.

Labada tilmaame ayaa qeexaya halista fulinta koodhka fog ee nuglaanta aan la xaqiijin. Kooxaha ammaanku waxay ku qiimeeyeen dhibcooyinka ugu sarreeya ee darnaanta, taasoo ka tarjumaysa ma aha oo kaliya saameyntooda farsamo, laakiin sidoo kale xaqiiqda ah in ka faa'iidaysigu ay suurtogal tahay xaaladaha geynta dhabta ah ee adduunka iyada oo aan shuruudo adag laga helin.

Cilmi-baarayaashu waxay sidoo kale xuseen in dabeecadda ay saameysay ay tahay karti u yeelasho ahaan habayn badan. Taas macnaheedu waa codsiyadu maaha inay isticmaalaan qaabab aan caadi ahayn ama ay ku daraan xulashooyin halis ah si loo soo bandhigo; Si fudud u qaadashada xirmooyinka ku saleysan RSC waxay ku filnaan kartaa in la dhaxlo dayacanka.

Muuqaalka gadaashiisa, dhibaatadu waxay ka timid jidka Culaysyada RSC waa la aqbalayaa oo waa la habeeyey by macquulka-dhinaca server-ka. Halkii si fiican loo ansixin lahaa oo loo xakameyn lahaa gelinta aan la aamini karin, nidaamka kala-soocida ayaa u oggolaanaya xogta weeraryahanku gacanta ku hayo inay qaabeeyaan waddooyinka fulinta ee server-ka.

Sida borotokoolka Duullimaadku u noqdo waddo loo maro RCE

Sababta ka dambeysa CVE-2025-55182 gudaha Qaybaha Server-ka React waa cilad macquul ah oo ka saarista hab-maamuuska RSC ee "Duulida" RSC waxay isticmaashaa qaab siligo gaar ah si ay u sharaxdo geedaha ka kooban, faashado, iyo ficilada server-ka, kaas oo seerfarku uu codeeyo oo macmiilku go'aamiyo qayb ka mid ah samaynta.

Marka server-ku helo a si xaasidnimo leh loo sameeyay culeyska Duullimaadka, waa in ay qayb kasta oo xogtaas ka mid ah ula dhaqanto mid aan la aamini karin. Taa baddalkeeda, hirgelinta nugul waxay u habaysaa gelintan hab si wax ku ool ah u oggolaanaysa inay saameyn ku yeelato hab-dhaqanka dhinaca adeegga ee mudnaanta leh. Talaabada aan badbaadada lahayn ayaa noqonaysa buundada u dhaxaysa xogta cadawga ah iyo koodhka JavaScript oo ku socda mudnaan server oo buuxa.

Cilmi-baarayaasha amnigu waxay ku sifeeyaan fasalkan arrinta sida nabad-gelyo-xumoCodsigu waxa uu qaataa qaab-dhismeedyo adag, dib-u-dhisaya shay ama qulqulka fulinta, oo ku guul-darraystay in uu ilaalo xooggan geliyo waxa walxahaas dib loo dhisay loo oggol yahay inay sameeyaan. Xaaladdan oo kale, waxay u furaysaa albaabka toogashada isteerinka weeraryahan ee ku wajahan waddooyinka koodka gardarrada ah.

Inta lagu jiro tijaabada, kooxaha cilmi-baarista ayaa sheegay isku halaynta ugu dhow marka la isku dayayo ka faa'iidaysiga. Weerarrada caddaynta, in kasta oo aan si buuxda loo shaacin si loo xaddido xadgudubka fursadda ah, ayaa la muujiyay in lagu guulaysto fulinta code-ka fog iyadoo heerka guusha uu ku dhow yahay 100%. Shuruuda wax ku oolka ah ee kaliya ayaa ah awoodda lagu gaarsiin karo codsi HTTP la farsameeyay oo la gaarsiinayo barta ugu dambeysa ee RSC.

Weerarku waa sidaas darteed fog oo aan la hubin: fadhi sax ah ma jiro, calaamo soo daatay ma jirto, meel ka horna looma baahna. Next.js-ka dadwaynaha soo jeeda ama abka kale ee RSC ku salaysan ee aan la cusboonaysiin waa la baadhi karaa oo, haddii ay nugul tahay, waa la dhimi karaa.

Yaa iyo maxaa saameeya

Sababtoo ah baylahdu waxay salka ku haysaa Hirgelinta falcelinta-server-ka muhiimka ah, Saameynteedu waxay dhaafsiisan tahay React lafteeda iyo Next.js qaab kasta oo isku xidha ama isku dara RSC si la mid ah. Tani waxay ka dhigtay baaxadda soo-gaadhista suurtagalka ah inay si aad ah uga ballaadhan tahay hal maktabad ama badeecad uu iibiyay.

Falanqaynta dadweynaha ayaa iftiimisay Xiga.js oo ah bartilmaameedka ugu caansan ee isha hoose, la siiyay caannimadiisa iyo is dhexgalka qoto dheer ee RSC. Xogta ay soo aruurisay Wiz Research waxay muujineysaa in qayb weyn oo ka mid ah deegaanka daruuraha ay maamulaan noocyada React ama Next.js kuwaas oo ku dhex dhaca kala duwanaanshaha nugul, taasoo gelisay jeex caan ah oo ka mid ah kaabayaasha samaynta ee dhinaca shabakadda ee halista.

Qiyaasaha qiimaynahaas waxay soo jeedinayaan in hareeraha 39%-40% deegaanka daruuraha ka kooban ugu yaraan hal tusaale oo ah React ama Next.js ay saameeyeen CVE-yadan. Next.js lafteedu waxay ka muuqataa inta badan deegaannadaas, marar badanna waxay awood u siinaysaa codsiyada si guud loo heli karo oo si toos ah loogu soo bandhigay internetka.

Wixii ka dambeeya.js, qaab kasta ama qalab kasta oo ku jira xidhmada-server-ka falcelinta ama haddii kale waxay taageertaa RSC inay suurtogal tahay in la kashifo. Tusaalooyinka la calaamadeeyay waxaa ka mid ah:

• Xiga, ee noocyadeeda karti u leh RSC.
• Vite RSC plugins kuwaas oo bixiya taageerada qaybaha server-ka.
• Xirmooyinka RSC Qaybaha React Server-ka ee isku dhafan.
• Ka fal celi dib u eegisyada RSC Router ama sii dayn tijaabo ah.
• RedwoodSDK fulinta iyadoo la isticmaalayo sifooyinka RSC.
• Waaku iyo qaabab la mid ah oo soo baxaya oo RSC ay wado.

Iibiya goobta daruuriga ah ayaa bilaabay inay ka caddeeyaan raadiyaha qaraxa marka laga eego aragtidooda. Tusaale ahaan, Google ayaa muujisay sawirada OS-da guud ee caadiga ah ee Google Cloud Matoorka Xisaabinta ha ku rarin xidhmooyinka RSC ee nugul sida caadiga ah. Si kastaba ha ahaatee, marka isticmaalayaashu ay geeyaan abka React ama Next.js iyaga u gaar ah sawiradaas, mas'uuliyadda balastar ayaa leh iyaga.

Waa maxay sababta khatarta loo arko mid xad dhaaf ah

Sifooyin dhowr ah ayaa isku dhafan si ay u sameeyaan CVE-2025-55182 iyo CVE-2025-66478 gaar ahaan ku saabsan difaacayaasha. Marka hore, dusha sare ee weerarka waxaa lagu dhejiyay sida RSC ay ula xiriirto shabakada, sidaas darteed waxaa lagu gaari karaa taraafikada HTTP ee caadiga ah meelo badan. Adeegayaashu uma baahna astaamo qalaad oo awood loo siiyo in la gaadho; keenista caadiga ah ayaa ku filan.

Marka labaad, qaabeynta default waa nugul abka caadiga ah ee isticmaalaya borotokoolka RSC ee saameeyay. Soo-saareyaasha ku tiirsan agabka lagu taliyey, ka-baxsan-sanduuqa iyo hababka ugu wanaagsan waxa laga yaabaa inay si ula-kac ah u geeyeen codsiyo u nugul iyadoon waxba la beddelin.

Seddexaad, saamaynta ka faa'iidaysiga guulaysta waxay ku dhowdahay sida ay u daran tahay: full fog full code fulinta on server ka. Marka uu weeraruhu heerkan gaadho, waxa ay sida caadiga ah maamuli karaan amaro aan loo meel dayin, waxa ay si qoto dheer u geli karaan deegaanka, xog-ururin karaan, ama ay wax u dhimi karaan macquulka codsiga. Deegaannada daruuriga ah ee asalka u ah ee adeegyadu si adag isugu xidhan yihiin, taasi waxay si dhakhso ah isu beddeli kartaa tanaasul ballaadhan.

Baarayaasha amniga ayaa sidoo kale walaac ka muujiyay taas, hadda taasi balastar iyo talo waa dadwayne, waa arrin waqti uun ah ka hor inta ay iska soo horjeedaan dib u rogitaan-injineernimada isbeddelka si ay u dhistaan ​​faa'iidooyinkooda, sida looga hadlay hagaha amniga npm.

Ugu dambayn, ku meel kasta oo ay joogaan React iyo Next.js Deegaannada wax-soo-saarka ayaa kordhiya khatarta. React waa mid ka mid ah maktabadaha JavaScript aadka loo isticmaalo ee loogu talagalay dhisidda is-dhexgalka, Next.js-na waxa ay noqotay hab-raac loogu talagalay abka-server-ka iyo barnaamijyada isku-dhafka ah. Cayayaanka ku jira qaybta niche waxa laga yaabaa inay ku koobnaato; Cayayaanka RSC wuxuu taabtaa qayb aad u wayn oo ka mid ah xidhmada shabakada

Jawaabta iibiyeyaasha iyo kooxaha amniga

Marka nuglaanta la aqoonsaday, habka siidaynta si degdeg ah ayuu u dhaqaaqay. Cilmi-baaraha amniga Lachlan Davidson ayaa ka warbixiyay cilladda Ku socota kooxda React iyada oo loo sii marayo barnaamijka abaal-marinta kutaanka ee Meta dhammaadka Noofambar. Ogeysiintan hore waxay u ogolaatay ilaaliyeyaashu inay daraasad ku sameeyaan arrinta, diyaariyaan siidayn adag, oo ay isku dubaridaan hagida qaab-dhismeedka hoose sida Next.js.

Ilaaliyeyaasha React ayaa lahaa tan iyo sii daayay noocyada la cusboonaysiiyay ee React iyo xirmada react-server taas oo wax ka qabanaysa habdhaqanka ka-baxsanaanta ammaan-darrada ee borotokoolka Duulimaadka. Dhismayaashan adag waxaa loogu talagalay inay si badbaado leh ugu qabtaan culeyska RSC, iyagoo xiraya dariiqyada koodhka ee hore u oggolaaday xogta aan la aamini karin inay tilmaamto fulinta dhinaca server-ka.

Vercel iyo Kooxda xigta.js waxay soo saareen la-talin iyaga u gaar ah, si faahfaahsan noocyada ay saameeyeen iyo sida isticmaalayaashu ay tahay inay u cusbooneysiiyaan. Hadafku waxa uu ahaa in sida ugu fudud ee suurtogalka ah kooxuhu u gartaan hawlgalinta ay saamaysay oo ay u gudbaan siidaynta la dhajiyay, oo ay ku jiraan abka lagu abuuray qalabaynta guud sida create-next-app.

Dhanka difaaca, Wiz Research iyo iibiyaasha kale ee amniga waxay daabaceen falanqeyn, baaritaanno iyo weydiimo si ay uga caawiyaan ururrada inay ogaadaan xaaladaha nugul ee deegaanadooda daruuriga ah. Wiz, tusaale ahaan, waxa uu ku daray su'aalo horay loo dhisay iyo la-talinta xarunta khatarta ah si kor loogu qaado React iyo Next.js rakibaadda oo wali ku tiirsan hirgelinta RSC ee cilladaysan.

Khubarada ka tirsan bulshada wax ka qabata dhacdada ayaa sidoo kale isu diyaarinaya suurtagalnimada in ururada qaar ay la kulmaan isku dayga ka faa'iidaysiga dhabta ah. Shirkadaha ammaanku waxay ku dhiirigeliyeen kooxaha ka shakisan dhaqdhaqaaqa la beegsaday ee ku lug leh CVE-2025-55182 ama CVE-2025-66478 si deg deg ah ula xiriir khabiirada jawaabta, sida ugu habboon ka hor inta aanay weeraryahannadu sii qotomin cagtooda.

Talaabooyinka degdega ah ee horumariyayaasha iyo hawl wadeenada

Kooxaha ka mas'uulka ah codsiyada shabakadda ee lagu dhisay Qaybaha Server-ka React, u cusboonaysiinta siidaynta adag waa yaraynta kaliya ee la isku halayn karo. Hagaajinta qaabaynta keligood uma badna inay si buuxda u baabi'iyaan khatarta iyadoo weli la ilaalinayo shaqeynta RSC ee caadiga ah, sababtoo ah cilladdu waxay ku dhex jirtaa sida borotokoolka laftiisa loo farsameeyo.

Wax ku ool ah qorshaha jawaabta ururadu waxay u ekaan karaan sidan:

• Liiska dhammaan codsiyada React iyo Next.js, oo ay ku jiraan aaladaha gudaha iyo adeegyada aan muuqan, kaliya maahan goobaha caamka ah ee soo wajahan.
• Aqoonso geynta adeegsata RSC ama ku tiirsan noocyada ee React iyo Next.js oo lagu tilmaamay inay nugul yihiin la-talinta iibiyuhu.
• cusboonaysii React, react-server iyo Next.js noocyada adag ee ay sii daayaan ilaaliyayaashu, iyagoo raacaya hagitaankooda nooca gaarka ah.
• Hubi qaab-dhismeedka kale ee karti u leh RSC sida Redwood, Waku ama RSC plugins ee Vite iyo Parcel, oo codso cusboonaysiinta isla marka ay ilaaliyeyaashu sii daayaan.
• Dib u eeg goynta iyo telemetry agagaarka meelaha RSC ee codsiyada aan caadiga ahayn, khaldan ama shakiga leh ee muujin kara isku dayo ka faa'iidaysi.

Ururada isticmaalaya aaladaha amniga daruuraha sidoo kale way awoodaan ka faa'iidayso bixiyaha waxa ku jira ogaanshaha si loo dardargeliyo hawshan. Tusaale ahaan, su'aalaha uu keeno Wiz waxay gacan ka geysan kartaa in la helo xirmooyinka nugul iyo qaab-dhismeedka meelaynta daruuraha badan, taasoo yaraynaysa fursadda ah in adeegga la ilduufay uu weli kashifo.

Halka ay suurtagal tahay, kooxuhu waxay sidoo kale tixgelin karaan si ku meel gaar ah u xaddidaya soo-gaadhista dhibcaha dhammaadka RSC ka dambeeya lakabyo dheeraad ah oo ah xakamaynta gelitaanka, xaddididda heerka ama dab-damisyada codsiga marka balastarrada la soo rogo. Tallaabooyinkani waa meelo joogsi ah halkii ay ka ahaan lahaayeen hagaajin buuxda, laakiin waxay kaa caawin karaan dhimista daaqadda fursadda weeraryahannada.

Sida RCE kasta oo heersare ah, adkaynta la socodka hareeraha hantida muhiimka ah sidoo kale waa muhiim. Ka digista cilladaha abuurista habka, isku xirka shabakada dibadda ee ka imaanaya adeegayaasha codsiyada iyo isbeddelada qaabeynta lama filaanka ah waxay gacan ka geysan kartaa in la ogaado ka faa'iidaysiga guuleysta goor hore.

Saamaynta muddada-dheer ee nidaamka deegaanka ee shabakadda

Soo bixitaanka CVE-2025-55182 ee React iyo CVE-2025-66478 gudaha Next.js waxa kale oo ay dhalinaysaa wada hadal balaadhan oo ku saabsan sida qaababka cusub ee mareegaha loo qaabeeyey loona soo saaray. Bixinta dhinac-serverka iyo qaybaha server-ka waxay ballan-qaadaan waxqabadka iyo faa'iidooyinka horumariyaha, laakiin sidoo kale waxay xoogga saaraan awood badan iyo kakanaanta tiro yar oo borotokool iyo maktabado ah.

Mid ka mid ah casharrada dhacdadan ayaa ah taas lakabyada is-daba-joogga ah iyo kala-saarista waxay u baahan yihiin baaritaan gaar ah. Hannaan kasta oo dib u dhis ku sameeya walxaha adag ama ka turjumaya culaysyada habaysan ee ka imanaya ilo aan la aamini karin ayaa u sharraxan dhiqlaha daran haddii ansixintu aanay dhammaystirnayn. Maadaama qaab-dhismeedyo badani ay qaataan qaabab la mid ah RSC, dib-u-eegayaasha koodhka iyo hanti-dhawrayaasha amniga waxay u badan tahay inay si aad ah diiradda u saaraan xuduudahaas.

Baaxadda saameynta suurtagalka ah ayaa sidoo kale muujisay sida Hababka deegaanka ee isha furan waxay ku xidhan yihiin jawaabaha degdega ah, ee la isku duba riday marka cilladaha muhiimka ahi soo baxaan. Ka fal celi, Next.js, bixiyeyaasha daruuraha iyo iibiyaasha amniga dhamaantood waxay u baahdeen inay si dhakhso leh isugu toosaan si ay u daabacaan balastar, dukumeenti iyo qalab ogaansho. Iskudubaridkaas ayaa si weyn u gaabin kara wakhtiga u dhexeeya siidaynta iyo hagaajinta, hoos u dhigista dhaawaca guud.

Isla markaana, dhacdadu waxay hoosta ka xariiqaysaa sida goobaha si fudud u habaysan ayaa qaabayn kara khatarta dhabta ah ee aduunka. Marka sifada xoogga leh loo furo si toos ah oo si ballaaran loo qaato, daciifnimo kasta oo ku jirta sifadaas waxay noqotaa arrin nidaamsan oo ku dhow habeen. Nakhshad qaabdhismeedka mustaqbalka waxa laga yaabaa in ay xooga saarto dhaqamada badbaadsan, ka door bida sifada horumarsan, ama ganacsi-ka-hortagga amniga ee cad.

Ugu dambeyntii, kooxaha horumarinta waxay u badan tahay inay dib u eegaan tooda qaabaynta hanjabaada ee sifooyinka uu wado server-ka. Xataa meelaha hore loo dareemay in si fiican loo difaaco, awoodda codsiyada aan la xaqiijin ee lagu saameynayo dariiqyada gudbinta server-ka waxay ku riixi doontaa kooxaha amniga si ay uga hortagaan malo-awaalka muddada dheer oo ay maalgashadaan imtixaan adag.

Iyadoo bulshadu sii wado dheefshiidka baylahdan, ururada qaata tallaabo degdeg ah si loo dhejiyo, loola socdo oo dib loo qiimeeyo isticmaalkooda RSC wuxuu ahaan doonaa meel adag. Wax ka qabashada CVE-2025-55182 iyo CVE-2025-66478 ma aha oo kaliya hagaajinta hal bug; waa xasuusin sida ay isugu xidhan yihiin xidhmooyinka casriga ah ee shabakadaha, iyo sida ay muhiimka u tahay in il gaar ah lagu eego aasaaska ay ku tiirsan yihiin.