اطلاعیه امنیتی بسیار مهم: آسیب‌پذیری اجرای کد از راه دور (RCE) در Next.js و React Server Components

خلاصه وضعیت و ضرورت اقدام فوری

یک آسیب‌پذیری امنیتی بسیار بحرانی با نمره CVSS 10.0 (حداکثر خطر) در نحوه رمزگشایی بار داده‌های ارسالی به EndPoint‌های React Server Functions کشف شده است. این نقص (با شناسه CVE-2025-55182) به مهاجمان اجازه می‌دهد بدون نیاز به احراز هویت، کد دلخواه (RCE) را روی سرور اجرا کرده و کنترل آن را در دست بگیرند.

این آسیب‌پذیری، فریم‌ورک‌های متکی بر React Server Components مانند Next.js (به ویژه در استفاده از App Router) و دیگر فریم‌ورک‌های مشابه را تحت تأثیر قرار می‌دهد.

✅ اقدام مورد نیاز: آپدیت فوری با توجه به ماهیت بحرانی خطر، آپدیت فوری و بدون تأخیر تمامی پروژه‌های میزبانی شده با Next.js و React Server Components، ضروری است.

**

سایت‌های میزبانی شده بر روی سرورهای مدیریت شده افیکس‌هاست به دلیل بروزرسانی خودکار ومانیتورینگ دوره‌ای و منظم شامل این اطلاعیه نمی‌باشند و  به صورت پایدار در حال فعالیت هستند. این اطلاعیه برای کاربران دارای سرورهای مدیریت نشده منتشر شده است.

**

جزئیات فنی آسیب‌پذیری

• شناسه (ID): CVE-2025-55182 (React) و CVE-2025-66478 (Next.js)

• نوع آسیب‌پذیری: اجرای کد از راه دور (RCE) ناشی از نقص در فرایند Deserialization ناامن بار ارسالی (Payload) در پروتکل "Flight" مربوط به React Server Components.

• میزان خطر (CVSS): ۱.۰ / ۱۰.۰ (حداکثر بحرانیت)

• ماهیت خطر: مهاجم می‌تواند با ارسال درخواست‌های HTTP دستکاری شده به هر یک از EndPointهای Server Function، اجرای کد اختیاری را بر روی سرور آغاز کند. حتی برنامه‌هایی که مستقیماً از Server Functions استفاده نمی‌کنند، اگر از React Server Components پشتیبانی کنند، در معرض خطر هستند.

جزئیات فنی و نسخه‌های اصلاح‌شده

این آسیب‌پذیری در بسته‌های اصلی React Server Components و نسخه‌هایی از Next.js وجود دارد:

اقدام فوری توصیه شده

از آنجایی که این نقص از طریق حملات فعال مورد بهره‌برداری قرار گرفته است، ما از تمامی مشتریان خود که از تکنولوژی‌های فوق استفاده می‌کنند، تقاضا داریم اقدامات زیر را بلافاصله انجام دهند:

۱. به‌روزرسانی Next.js

کاربران Next.js باید فوراً به جدیدترین نسخه‌های Patch شده در خط انتشار خود به‌روزرسانی کنند.

۲. به‌روزرسانی پکیج‌های React

در صورت استفاده مستقیم از پکیج‌های RSC، آن‌ها را به نسخه‌های اصلاح شده به‌روزرسانی کنید (مثلاً 19.0.1, 19.1.2, یا 19.2.1)

npm install react@latest react-dom@latest react-server-dom-webpack@latest

۳. اقدام پس از به‌روزرسانی

در صورتی که برنامه شما در زمان انتشار این آسیب‌پذیری به‌صورت عمومی در دسترس بوده و هنوز به‌روزرسانی نشده بود، قویاً توصیه می‌شود تمامی اسرار (Secrets) مربوط به آن برنامه (مانند کلیدهای API، رمزهای عبور دیتابیس و توکن‌های محیطی) را چرخانده (Rotate) و تغییر دهید.

توجه: اگرچه ممکن است میزبان‌ها (Hosting Providers) تمهیدات موقتی را اتخاذ کرده باشند، اما این اقدامات جایگزین وصله کردن و به‌روزرسانی برنامه توسط توسعه‌دهنده نیستند. لطفاً در اسرع وقت اقدام به به‌روزرسانی کنید.

اقدام تکمیلی و ضروری: تهیه نسخه پشتیبان (Backup)

با توجه به ماهیت بحرانی این آسیب‌پذیری (Remote Code Execution - RCE) که می‌تواند منجر به دسترسی کامل مهاجم به اطلاعات سرور و حتی حذف یا رمزگذاری کامل داده‌ها شود، ما قویاً توصیه می‌کنیم:

• تهیه بکاپ منظم: حتماً به صورت منظم و روزانه (یا با هر تغییر مهم)، از تمامی دیتای موجود در سرورهای خود شامل کدهای برنامه و پایگاه‌های داده، بکاپ تهیه نمایید.

• ذخیره‌سازی ریموت و ایزوله: نسخه‌های پشتیبان را حتماً در یک محل ریموت و کاملاً مجزا از سرور اصلی (در سرور و دیتاسنتر دیگری) ذخیره کنید تا در صورت بروز هرگونه مشکل امنیتی در سرور اصلی، داده‌های شما ایمن باقی بمانند.

✅ راهکار پیشنهادی efixhost

در این خصوص می‌توانید از سرویس هاست بکاپ افیکس‌هاست که برای ذخیره‌سازی ایزوله و امن داده‌های پشتیبان طراحی شده است، استفاده نمایید. همچنین، برای دریافت مشاوره تخصصی در خصوص بهترین استراتژی بکاپ‌گیری متناسب با ساختار سرور خود، می‌توانید با همکاران فنی ما در بخش تیکتینگ تماس بگیرید.