هشدار برای توسعه‌دهنده‌های React: باگ خطرناک Server Components که نباید نادیده بگیرید!

در ۲۹ نوامبر، لاکلان دیویدسون یک آسیب‌پذیری امنیتی در React گزارش کرد که امکان اجرای کد از راه دور بدون احراز هویت را با سوءاستفاده از یک نقص در نحوه‌ی رمزگشایی payloadهای ارسال‌شده به endpointهای React Server Function فراهم می‌کرد.

حتی اگر اپلیکیشن شما هیچ endpoint مربوط به Server Function نداشته باشد، همچنان ممکن است آسیب‌پذیر باشد اگر از React Server Components پشتیبانی می‌کند.

این آسیب‌پذیری با شناسه CVE-2025-55182 منتشر شده و دارای امتیاز CVSS برابر 10.0 است.

آسیب‌پذیری در نسخه‌های 19.0، 19.1.0، 19.1.1 و 19.2.0 موارد زیر وجود دارد:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

اقدام فوری لازم است

اصلاح این مشکل در نسخه‌های 19.0.1، 19.1.2 و 19.2.1 منتشر شده است. اگر از هر یک از بسته‌های فوق استفاده می‌کنید، فوراً به یکی از نسخه‌های اصلاح‌شده ارتقا دهید.

اگر کد React شما از سرور استفاده نمی‌کند، اپلیکیشن شما تحت تأثیر این آسیب‌پذیری نیست. اگر اپلیکیشن شما از هیچ فریم‌ورک، باندلر یا افزونه باندلری که از React Server Components پشتیبانی کند استفاده نمی‌کند، اپلیکیشن شما تحت تأثیر نیست.

فریم‌ورک‌ها و باندلرهای تحت تأثیر

برخی فریم‌ورک‌ها و باندلرهای React به این بسته‌های آسیب‌پذیر وابسته بودند، peer dependency داشتند یا آن‌ها را در خود شامل می‌کردند. فریم‌ورک‌ها و باندلرهای زیر تحت تأثیر هستند: next، react-router، waku، @،](https://www.npmjs.com/package/@parcel/rsc)،) @،](https://www.npmjs.com/package/@vitejs/plugin-rsc)،) و rwsdk.

ما این پست را با دستورالعمل‌های ارتقا به‌روزرسانی خواهیم کرد به‌محض اینکه در دسترس قرار بگیرند.

اقدامات موقتی ارائه‌دهندگان میزبانی

ما با تعدادی از ارائه‌دهندگان میزبانی همکاری کرده‌ایم تا اقدامات موقتی اعمال کنند.

نباید برای ایمن‌سازی اپلیکیشن خود به آن‌ها تکیه کنید و همچنان باید فوراً به‌روزرسانی کنید.

مرور کلی آسیب‌پذیری

React Server Functions به کلاینت این امکان را می‌دهند که یک تابع را روی سرور فراخوانی کند. React نقطه‌های یکپارچه‌سازی و ابزارهایی ارائه می‌دهد که فریم‌ورک‌ها و باندلرها از آن‌ها برای اجرای کد React در کلاینت و سرور استفاده می‌کنند. React درخواست‌های کلاینت را به درخواست‌های HTTP تبدیل می‌کند که به سرور منتقل می‌شوند. روی سرور، React درخواست HTTP را به یک فراخوانی تابع تبدیل کرده و داده‌های لازم را به کلاینت بازمی‌گرداند.

یک مهاجم بدون احراز هویت می‌تواند یک درخواست HTTP مخرب به هر endpoint مربوط به Server Function ارسال کند که هنگام deserialize شدن توسط React، منجر به اجرای کد از راه دور روی سرور می‌شود. جزئیات بیشتر پس از تکمیل انتشار اصلاح ارائه خواهد شد.

دستورالعمل‌های به‌روزرسانی

Next.js

تمام کاربران باید به آخرین نسخه اصلاح‌شده در خط انتشار خود ارتقا دهند:

1npm install next@15.0.5   // برای 15.0.x
2npm install next@15.1.9   // برای 15.1.x
3npm install next@15.2.6   // برای 15.2.x
4npm install next@15.3.6   // برای 15.3.x
5npm install next@15.4.8   // برای 15.4.x
6npm install next@15.5.7   // برای 15.5.x
7npm install next@16.0.7   // برای 16.0.x