در دسامبر ۲۰۲۵ (آذر ماه)، تیم توسعه React یکی از آسیب‌پذیری‌های بحرانی تاریخ این فریم‌ورک را افشا کرد: یک ضعف اجرای کد از راه دور (RCE) در React Server Components (RSC)  که به‌صورت عمومی با شناسه CVE-2025-55182  و با نام غیررسمی React2Shell  شناخته شد. این نقص به مهاجمان اجازه می‌دهد، حتی بدون احراز هویت، با ارسال یک درخواست crafted به سرورهای آسیب‌پذیر، کد دلخواه روی سرویس اجرا کنند، وضعیتی که می‌تواند منجر به کنترل کامل سرور و نفوذ در زیرساخت شود.

⚠️  ماهیت و دامنه خطر React2Shell

 ✔نوع آسیب‌پذیری:  RCE (Remote Code Execution)  با امتیاز بحرانی 10.0 (CVSS).

 ✔مکانیزم: خطای deserialization  ناایمن در React Server Components که باعث می‌شود داده‌های دریافتی بدون اعتبارسنجی مناسب پردازش شوند و امکان اجرای کد مخرب فراهم گردد.

 ✔کتابخانه‌های آسیب‌پذیر: نسخه‌های 19.0.0 تا 19.2.0 بسته‌های react-server-dom-  در React و همچنین فریم‌ورک Next.js  و تعداد زیادی از اکوسیستم‌های وابسته مانند Vite، Parcel، RedwoodSDK و غیره.

 ✔بدون نیاز به احراز هویت: مهاجم فقط به یک تنها درخواست HTTP crafted برای سواستفاده نیاز دارد.

این ضعف ساختاری، به‌دلیل حضور گسترده React و Next.js در وب‌اپلیکیشن‌های مدرن، به‌سرعت تهدیدی بزرگ برای خدمات اینترنتی در سراسر جهان تبدیل شده است.

مقالات مرتبط: تحلیل فنی اختلال جهانی Cloudflare پس از پچ اضطراری React2Shell (CVE-2025-55182)

🧠 حملات فعال و چشم‌انداز جهانی

بلافاصله پس از انتشار خبر آسیب‌پذیری در ۳ دسامبر ۲۰۲۵ و ارائه اصلاحات، حملات فعال در سطح جهان افزایش یافت:

🔹  بازیگران چینی از جمله گروه‌های شناخته‌شده مانند Earth Lamia  و Jackpot Panda  از این ضعف در حملات گسترده علیه خدمات مختلف استفاده کردند، هدف‌گیری سازمان‌ها در بخش‌های مالی، حمل‌ونقل، آموزش، فناوری و دولت‌ها.

🔹  علاوه بر دست‌کاری ساده یا اسکن، سوء‌استفاده توسط گروه‌های تهدید پیشرفته نیز مشاهده شده‌است، برخی با استفاده از بدافزارهای پیچیده برای برقراری دسترسی ماندگار، جمع‌آوری اعتبارنامه‌ها و lateral movement .

🔹  تحلیل‌های میدانی نشان می‌دهند که هزاران آدرس IP آسیب‌پذیر در فضای اینترنت وجود دارد و حملات خودکار برای شناسایی و بهره‌برداری از این ضعف در جریان است.

این وضعیت نشان می‌دهد که تهدید فقط تئوری نیست و باید به‌عنوان یک بحران واقعی امنیتی تلقی شود. چیزی مشابه با حملات مشهور گذشته مانند Log4Shell.

🛡️ تأثیر بر اکوسیستم وب و ریسک‌های کسب‌وکاری

این نقص نه‌تنها برای توسعه‌دهندگان فرانت‌اند خطرناک است، بلکه به‌صورت مستقیم زیرساخت‌های وب‌اپلیکیشن‌ها، APIها و سرویس‌های ابری را تهدید می‌کند:

📍  در بسیاری از سازمان‌ها، اعمال React2Shell  منجر به:
✔  اجرای بدافزارهایی مانند cryptominers و backdoorها
✔  جمع‌آوری و سرقت اعتبارنامه‌های کلود
✔  امکان دسترسی مداوم مهاجم به سرورها
✔  آسیب به اعتبار و عملیات کسب‌وکارها در حوزه‌های حیاتی شده‌است.

🧩 اقدامات حیاتی برای تیم‌های امنیتی و توسعه

برای کاهش این ریسک در کوتاه‌مدت و بلندمدت، توصیه‌های کلیدی عبارت‌اند از:

🔹  PATCH فوری: تمامی نسخه‌های آسیب‌پذیر React و Next.js باید به نسخه‌های patched ارتقا یابند (مانند React 19.0.1، 19.1.2، 19.2.1 و نسخه‌های امن Next.js).

🔹  بررسی دقیق وابستگی‌ها:  audit کردن پروژه‌ها برای وجود هر گونه بسته آسیب‌پذیر در dependencies و devDependencies.

🔹  نظارت لاگ و تهدیدشناسی: بررسی ترافیک ورودی، لاگ‌های web server، رفتارهای غیرعادی، و استقرار سیستم‌های EDR/IDS پیشرفته برای شناسایی نمونه‌های Exploit .

🔹  تست مداوم و CI/CD Harden : استفاده از ابزارهای اسکن وابستگی، تست امنیتی و یکپارچه‌سازی آنها در Pipeline CICD برای جلوگیری از بروز ضعف‌های مشابه در آینده.

📌 نتیجه‌گیری:  React2Shell یک هشدار جدی برای امنیت مدرن

React2Shell (CVE-2025-55182)  یک نمونه از ریسک ذاتی وقتی آسیب‌پذیری در هسته‌ی یک فریم‌ورک محبوب رخ می‌دهد است، خصوصاً زمانی که این فریم‌ورک در میلیون‌ها سرویس اینترنتی به‌کار می‌رود. اجرای سریع اقدامات حفاظتی، پایش فعال تهدیدات و هماهنگی بین تیم‌های امنیت و توسعه نه تنها از پیامدهای امنیتی جلوگیری می‌کند، بلکه به حفظ اعتماد مشتریان و تداوم کسب‌وکار نیز کمک می‌نماید.