تتعرض ثغرة React2Shell الحرجة لهجوم من مجموعات تهديد مرتبطة بالدولة الصينية، مما يثير مخاوف كبيرة في مجتمع الأمن السيبراني.
تتعرض ثغرة حرجة تؤثر على مكتبة React الشهيرة مفتوحة المصدر، لهجوم من قبل مجموعة من الفاعلين التهديديين المرتبطين بالدولة الصينية.
تتعلق الثغرة CVE-2025-55182، التي تم الكشف عنها يوم الأربعاء، بتنفيذ كود عن بعد (RCE) غير مصادق عليه، وتؤثر على بروتوكولات مكونات خادم React (RCS) بالإصدارات 19.0.0 و19.1.0 و19.1.1 و19.2.0 لثلاث حزم (react-server-dom-webpack وreact-server-dom-parcel وreact-server-dom-turbopack)، وتسببها عملية تسلسل غير آمنة. نظرًا لخطورة الخطأ، وشيوع React، وقدرته على التسبب في تنفيذ كود عن بعد قبل المصادقة، حصلت على درجة CVSS تبلغ 10 – وهي أعلى درجة ممكنة.
أشار الباحثون الأمنيون إلى هذه الثغرة باسم “React2Shell”، في إشارة إلى الثغرة المدمرة Log4Shell في إطار عمل Log4j التي تم الكشف عنها في عام 2021 وتعرضت لاستغلال واسع النطاق.
تغطي ثغرة CVE أخرى ذات صلة، تحمل درجة شدة قصوى، وتُعرف باسم CVE-2025-66478، التأثيرات السلبية للثغرة RCS على إطار عمل Next.js.
تتوفر تصحيحات لـ CVE-2025-55182 الآن لإصدارات React 19.0.1 و19.1.2 و19.2.1، ويُحث العملاء المتأثرون على تطبيق التصحيح ذي الصلة في أقرب وقت ممكن. بالنسبة للتأثيرات السلبية، تتوفر أيضًا تدابير تخفيف عامة. على سبيل المثال، نشر مشرف Next.js Vercel إرشادات لـ CVE-2025-66478 وأصدر تصحيحات للإصدارات المتأثرة من الإطار.
تصرف المجتمع الأمني بسرعة، حيث عمل عدد كبير من المشرفين والبائعين على احتواء التهديد بمجرد أن أصبح علنيًا. ومع ذلك، بينما كان من غير الواضح في البداية ما إذا كانت React2Shell تحت الهجوم، فإن ذلك، للأسف، لم يعد صحيحًا.
المهاجمون المرتبطون بالصين يستهدفون React2Shell
في منشور مدونة يوم الخميس، حذر رئيس قسم الأمن المعلوماتي في أمازون (CISO) CJ Moses من أنه خلال ساعات من الكشف العام عن CVE-2025-55182 في 3 ديسمبر، “لاحظت فرق استخبارات التهديد في أمازون محاولات استغلال نشطة من قبل عدة مجموعات تهديد مرتبطة بالدولة الصينية، بما في ذلك Earth Lamia وJackpot Panda.”
على الرغم من أن موسى اعترف بأنه من الصعب إجراء نسب هجمات محددة بسبب الشبكات الكبيرة للتخفي في الصين، أضاف أن “الغالبية العظمى من أرقام الأنظمة المستقلة (ASNs) للنشاط غير المنسوب مرتبطة بالبنية التحتية الصينية، مما يؤكد أن معظم أنشطة الاستغلال تنبع من تلك المنطقة.”
علاوة على ذلك، كتب أن الفاعلين التهديديين يستخدمون أدوات مسح آلية واستغلالات نموذجية (PoC) – العديد منها غير وظيفي – لاستهداف المنظمات الضعيفة. في هذه الحالات، ومع ذلك، يستهدف الفاعلون التهديديون أكثر من مجرد الثغرة الحالية.
“لا تقتصر أنشطة هذه المجموعات على CVE-2025-55182. رصدت فرق استخبارات التهديد في أمازون استغلالهم في الوقت نفسه لثغرات N-day حديثة أخرى، بما في ذلك CVE-2025-1338،” كتب. “هذا يظهر نهجًا منهجيًا: يراقب الفاعلون التهديديون الكشف عن الثغرات الجديدة، ويقومون بسرعة بدمج الاستغلالات العامة في بنيتهم التحتية للمسح، وينفذون حملات واسعة عبر عدة ثغرات شائعة (CVEs) في وقت واحد لزيادة فرصهم في العثور على أهداف ضعيفة.”
التداعيات المستمرة لـ React2Shell
على الرغم من أن المهاجمين المرتبطين بالصين قد يكونون من بين الأوائل الذين يستهدفون React2Shell، إلا أن ذلك لا يعني أنهم سيكونون الوحيدين، حيث لا زلنا في الأيام الأولى من هذا التهديد. تمتد التداعيات إلى ما هو أبعد من الهجمات الخارجية أيضًا. عانت Cloudflare من انقطاع قصير يوم الجمعة بسبب جهود التخفيف الخاصة بها لـ React2Shell، والتي تضمنت نشر قواعد جدار حماية تطبيق الويب (WAF) لحماية العملاء من محاولات الاستغلال.
في منشور مدونة Rapid7، قالت الشركة الأمنية إنها قامت بالتحقق من وجود استغلال نموذجية (PoC) تعمل للثغرة التي نشرها باحث أمني. تتوفر أيضًا استغلالات نموذجية أخرى علنًا، على الرغم من أنه من غير الواضح كم منها يؤدي إلى استغلال ناجح لـ CVE-2025-55182.
كما ذكر في منشور المدونة، على الرغم من أنه قد لا يكون هناك استغلال واسع النطاق بعد، فمن المحتمل أن يتغير ذلك بمجرد توفر الاستغلالات العاملة. لذلك، يجب على أي منظمة تشك في أنها قد تكون عرضة لـ CVE-2025-55182 أو CVE-2025-66478 أن تتصرف الآن.
يجب على جميع المنظمات اتخاذ إجراءات فورية لحماية أنظمتها من هذه الثغرة المتزايدة، حيث أن التهديدات لا تزال تتطور.
