خطر جدید برای اکوسیستم JavaScript؛ مهاجمان در حال سوءاستفاده از آسیب‌پذیری React2Shell

در روزهای اخیر یک آسیب‌پذیری بسیار مهم با نام React2Shell و شناسه CVE-2025-55182 جامعه توسعه‌دهندگان وب را به شدت نگران کرده است. این نقص امنیتی که در React Server Components شناسایی شده، امکان اجرای کد از راه دور بدون نیاز به احراز هویت (RCE) را تنها با یک درخواست HTTP برای مهاجم فراهم می‌کند.

ابعاد بحران

طبق گزارش موسسه ShadowServer، بیش از ۷۷ هزار نشانی IP در سراسر جهان در برابر این نقص آسیب‌پذیر هستند. از این تعداد، 460 نشانی IP متعلق به سرورهای ایرانی است. داده‌ها نشان می‌دهد که مهاجمان تاکنون به بیش از ۳۰ سازمان بین‌المللی نفوذ کرده‌اند. پژوهشگران امنیتی هشدار می‌دهند که موج اسکن‌های خودکار و تلاش برای سوءاستفاده طی ساعات گذشته به‌شدت افزایش یافته است.

React2Shell چگونه مورد سوءاستفاده قرار می‌گیرد؟

مشکل اصلی از Deserialization ناامن داده‌هایی نشأت می‌گیرد که در React Server Components پردازش می‌شود. مهاجم با ساخت یک درخواست HTTP خاص می‌تواند یک Payload مخرب را تزریق کرده و باعث شود سرور، آن داده را به‌عنوان یک شیء معتبر پردازش کرده و دستورات دلخواه را اجرا کند.

اسکن‌های مشاهده‌شده عمدتاً شامل موارد زیر است:

• اجرای دستورهای ساده PowerShell برای تست اولیه آسیب‌پذیری
• ارسال کدهای Payload رمزگذاری‌شده Base64
• دانلود اسکریپت‌های مخرب در حافظه بدون ایجاد فایل قابل‌مشاهده
• استقرار beaconهایی مانند Cobalt Strike برای ایجاد دسترسی پایدار به شبکه

این الگوی حمله نشان می‌دهد React2Shell تنها یک نقص ساده نیست و می‌تواند به یک زنجیره نفوذ کامل منجر شود.

پیامدها برای شرکت‌های ایرانی

با توجه به استفاده گسترده از Next.js و فریم‌ورک‌های مبتنی بر React در ایران، بسیاری از شرکت‌های داخلی – به‌ویژه ارائه‌دهندگان SaaS، استارتاپ‌های فین‌تک، فروشگاه‌های اینترنتی و پلتفرم‌های محتوایی – در معرض خطر قرار دارند. این تهدید به‌خصوص برای سازمان‌هایی که:

• React Server Components استفاده می‌کنند،
• سرورهایشان از بیرون قابل دسترس است،
• و هنوز آخرین نسخه React را نصب نکرده‌اند

بسیار جدی است.

راهکار فوری

توسعه‌دهندگان باید سه اقدام فوری انجام دهند:

• به‌روزرسانی React به آخرین نسخه منتشرشده
• Build کردن مجدد برنامه
• استقرار دوباره (Redeploy)

 

همچنین بررسی لاگ‌های سرور برای موارد زیر ضروری است:

• اجرای PowerShell یا Bash غیرمعمول
• درخواست‌های مشکوک به مسیرهای RSC
• ارتباطات خروجی غیرمنتظره به نشانی‌های IP ناشناس

جمع‌بندی

React2Shell یکی از جدی‌ترین آسیب‌پذیری‌های تاریخ React به شمار می‌رود و به دلیل سهولت بهره‌برداری و گستردگی استفاده از RSC، می‌تواند به موجی از حملات در هفته‌های آینده منجر شود. توصیه می‌شود سازمان‌های ایرانی که از React و به‌ویژه Next.js استفاده می‌کنند، در اسرع وقت سیستم‌های خود را وصله کرده و زیرساخت‌هایشان را مورد بررسی امنیتی قرار دهند.

اطلاعات بیشتر

توصیه‌نامه React در خصوص آسیب‌پذیری CVE-2025-55182 در لینک زیر قابل‌دسترس است:

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components