Next.js 13-16: RCE بدرجة CVSS 10 في مكونات React Server Components

CVE-2025-55182 يتيح RCE غير مصادق عليه عبر HTTP POST ضار إلى نقاط نهاية Server Function في React 19+، مما يؤثر على Next.js 13-16. يجب على مطوري الواجهة الأمامية التصحيح فورًا أو التعرض لخطر اختراق الخادم الكامل دون بيانات اعتماد.

ثغرات حرجة في مكونات React Server Components: قم بتصحيح RCE وDoS وكشف كود المصدر الآن

مطورو React JS، خاصة الذين يبنون باستخدام React 19+ وNext.js 13-16، يواجهون أزمة أمنية عاجلة. في 13 مايو 2026، كشف الباحثون عن ثلاث ثغرات شديدة الخطورة في React Server Components (RSC): CVE-2025-55182 (RCE بدرجة CVSS 10)، CVE-2025-55183 (كشف كود المصدر)، وCVE-2025-55184 (DoS). تؤثر هذه العيوب على حزم مثل react-server-dom-webpack/parcel/turbopack 19.0.0-19.2.1 وإصدارات Next.js 13x-16x، التي يستخدمها ملايين مطوري واجهات الويب الأمامية لتطبيقات قابلة للتوسع.

ملخص تنفيذي: ما الذي يجعل هذه الثغرات حرجة

CVE-2025-55182 هي الأكثر إثارة للقلق—درجة CVSS مثالية 10/10 لتنفيذ الكود عن بعد (RCE). يمكن للمهاجمين تنفيذ كود تعسفي على خادم Node.js الخاص بك بطلبات HTTP POST غير مصادق عليها إلى نقاط نهاية Server Function. بشكل صادم، يعمل هذا حتى لو لم تكن تستخدم Server Actions صراحةً، طالما أن RSC مفعّل.

CVE-2025-55183 تتسرب منطق Server Action وكود المصدر، مكشوفة قواعد الأعمال الملكية أو مفاتيح API. CVE-2025-55184 تثير رفض الخدمة (DoS) عبر تعليقات مكثفة للـCPU، مما يشل خوادم الإنتاج. تشمل الإطارات المتأثرة Vite وReact Router وRedwoodSDK وغيرها. درجة الأخبار: 8/10 إلحاحًا—قم بالتصحيح اليوم لتجنب الاختراقات.

كمطور ويب واجهة أمامية تعتمد على React JS لتطوير الويب المخصص، هذه الثغرات تقوض وعد RSC الأساسي: التصيير من جانب الخادم دون انتفاخ JS للعميل. تطبيقات الإنتاج معرضة للخطر الآن.

دليل التصحيح خطوة بخطوة لـReact JS وNext.js

قم بالتحديث فورًا. إليك كيفية القيام بذلك للحزم الرئيسية:

  1. React وreact-server-dom: قم بتشغيل npm update react@19.2.2 react-dom@19.2.2 react-server-dom-webpack@19.2.2 (أو 19.0.2+ للفروع الأقدم، 19.1.3+ لـ19.1.x). تحقق باستخدام npm ls react-server-dom-webpack.
  2. Next.js: npm install next@14.2.35 (13.x)، next@15.0.7 (15.x)، أو next@16.0.10 (16.x). قم بتحديث package.json:
{\ \\"dependencies\\": {\ \\"next\\": \\"^16.0.10\\"}