React2Shell وتعدين العملات في React وNext.js

باختصار: في أوائل ديسمبر 2025، كُشف عن ثغرة حرجة في React Server Components عُرفت باسم React2Shell (CVE-2025-55182). أتاحت الثغرة تنفيذ أوامر عن بُعد من دون مصادقة في إعدادات شائعة من React وNext.js، بما في ذلك الإعدادات الافتراضية. ظهرت الاستغلالات بسرعة في الواقع، واستُخدمت الخوادم المخترقة لتعدين العملات. إذا كان تطبيقك يستخدم React Server Components أو Next.js App Router، فالتصحيح وإعادة النشر ضروريان.

لسنوات، تعلم مهندسو الواجهة الأمامية نموذجا ذهنيا مطمئنا: المتصفح هو الحدود.

كانت شيفرة الواجهة تعمل على العميل، وتتعامل أنظمة الخلفية مع الثقة والأمان، وتساعد الأطر في إبقاء هذه المسؤوليات منفصلة بوضوح. شكّل هذا النموذج طريقة تفكير الفرق في المخاطر والمراجعات والنشر.

كسر React2Shell هذه الفرضية بطريقة عملية جدا.

في الأيام التي تلت الكشف عن CVE-2025-55182، وصلت فرق بأدوار مختلفة إلى الاستنتاج نفسه من اتجاهات مختلفة، ليس بسبب النظرية، بل بسبب ما فعله المهاجمون بعد ذلك.

لم تعد تطبيقات React الحديثة مجرد شيفرة واجهة مستخدم. إنها تنفذ كجزء من بنية الإنتاج، وهذا التحول مكّن حملات انتهازية من تحويل الخوادم المكشوفة إلى أحمال لتعدين العملات.

لم يحدث ذلك بسبب سوء استخدام أو إعدادات غريبة. لقد أثّر على إصدارات منتشرة من React وNext.js تعمل كما هو موثق تماما، ولذلك انتشر الأثر بسرعة.

ماذا حدث في React2Shell؟

React2Shell هي ثغرة حرجة في React Server Components (RSC)، وهي ميزة في React تسمح لأجزاء من شيفرة الواجهة بالعمل على الخادم أثناء معالجة طلبات المستخدمين الفعلية.

ما جعل هذه الثغرة مختلفة لم يكن مكانها فقط، بل أيضا مدى اندماجها الطبيعي في معالجة الطلبات المعتادة.

سمحت الثغرة للمهاجمين بتفعيل remote code execution (RCE)، وهو نوع من الهجمات يتيح لشخص تشغيل أوامره على الخادم عبر طلب مصمم خصيصا، من دون تسجيل دخول.

على مستوى عال، جرى الهجوم كالتالي:

• وصل طلب مصمم بعناية إلى منطق React العامل على الخادم
• عبرت مدخلات متسلسلة حدود الثقة
• نفذ الخادم شيفرة يتحكم بها المهاجم

عندما أصبحت هذه السلسلة مفهومة، اتضحت الخطورة فورا.

• درجة CVSS: 10.0 (حرجة) - أعلى تصنيف خطورة
• من دون مصادقة
• عن بُعد
• تأثير مباشر على الإنتاج

ظهرت إثباتات المفهوم بعد وقت قصير من الكشف. تبعها استغلال نشط بسرعة، فلم يكن هناك وقت طويل بين الفهم والانكشاف.

لماذا كانت التطبيقات الافتراضية معرضة؟

من أهم دروس React2Shell أن الإعدادات المتأثرة كانت عادية جدا. وهذا الاعتياد نفسه هو ما جعل الأثر ينتشر بهذه السرعة.

لم تكن هذه:

• نسخا مخصصة من الإطار
• بناءات تجريبية غير آمنة
• عمليات نشر نادرة أو هامشية

بل كانت:

• تطبيقات React تستخدم حزما ضعيفة (الإصدارات 19.0.0 و19.1.0 و19.1.1 و19.2.0)
• إصدارات Next.js >=14.3.0-canary.77 و15.x و16.x التي تستخدم App Router
• أطر أخرى متأثرة: React Router (unstable RSC APIs) وExpo وRedwood SDK وWaku وإضافات Vite/Parcel RSC

تغيّر React Server Components جذريا مكان تنفيذ منطق الواجهة. ونتيجة لذلك أصبحت شيفرة الواجهة الآن:

• تعمل على الخادم
• تتعامل مع مدخلات متسلسلة
• تشارك في معالجة الطلبات

لم ينشئ React2Shell هذا التحول. لكنه أجبر الفرق على مواجهته.

الاستغلال في الواقع وتعدين العملات

بمجرد أن أصبحت الثغرة علنية، بدأ الاستغلال شبه فوري.

سرعان ما بدأت مزودات السحابة وباحثو الأمن في الإبلاغ عن هجمات حقيقية، وكان كثير منها انتهازيا وليس موجها.

أظهرت الأنظمة المخترقة:

• أدوات تعدين عملات تستهلك المعالج والذاكرة - برمجيات خبيثة تجبر الخوادم على توليد عملات رقمية للمهاجمين
• أبوابا خلفية للاستمرارية - مسارات وصول مخفية يمكن للمهاجمين استخدامها مرة أخرى
• أدوات proxy لترحيل المرور
• نشاطا لاحقا معتادا في الهجمات الانتهازية

في عدة حالات منشورة، أعادت الفرق نشر الخوادم مرات متعددة ثم أصيبت مرة أخرى. كشف هذا النمط المشكلة الأساسية.

لم تكن المشكلة في التنظيف. كان وقت التشغيل الضعيف لا يزال موجودا.

ساعدت الدفاعات متعددة الطبقات، لكنها لم تستطع تعويض اعتماد أساسي غير مصحح.

التعمق التقني لمهندسي الأمن

على مستوى عال، أصبح React2Shell ممكنا بسبب طريقة قيام React Server Components بتسلسل البيانات وفك تسلسلها عبر بروتوكول React Flight. تمكن المهاجمون من إساءة استخدام هذا المسار للوصول إلى التنفيذ على الخادم، وفي Next.js أمكن تفعيل المسار نفسه عبر سلوك توجيه الطلبات المرتبط بإجراءات الخادم.

للاطلاع على التفصيل الكامل للبروتوكول ومسار الاستغلال والتخفيف، اقرأ التحليل التقني من Darktrace كاملا.

اختفت الحدود بين الواجهة والخلفية

أوضح React2Shell أمرا كان يتطور بهدوء منذ سنوات.

إذا كان إطار الواجهة لديك:

• يعمل على الخادم
• يقبل مدخلات متسلسلة - بيانات منظمة تُرسل بين العميل والخادم، مثل JSON
• ينفذ أثناء معالجة الطلبات

فهو يستحق مستوى التدقيق التشغيلي نفسه لأي خدمة خلفية.

هذا ليس فشلا في هندسة الواجهة. إنه النتيجة الطبيعية لتحول التجريدات القوية إلى بنية إنتاج.

تستبدل الأطر الحديثة الحدود الصريحة بالسرعة وتجربة المطور. هذه المقايضة لا تزيل المسؤولية، بل تنقلها.

ما الذي كان على الفرق فعله فورا

مع ظهور الإرشادات، تقاربت أنماط الاستجابة بين المؤسسات. الفرق التي تحركت بسرعة اتبعت الخطة نفسها.

1. تحديد الانكشاف

• تأكيد استخدام React Server Components.
• التحقق مما إذا كان Next.js App Router مفعلا.
• فحص الاستخدام غير المباشر عبر الاعتمادات.

2. التصحيح وإعادة النشر

• ترقية حزم React Server DOM إلى 19.0.3 أو 19.1.4 أو 19.2.3.
• ترقية Next.js حسب خط الإصدار لديك:
  • 13.x / 14.x: الترقية إلى 14.2.35
  • 15.0.x: الترقية إلى 15.0.5+
  • 15.1.x: الترقية إلى 15.1.9+
  • 15.2.x: الترقية إلى 15.2.6+
  • 15.3.x: الترقية إلى 15.3.6+
  • 15.4.x: الترقية إلى 15.4.8+
  • 15.5.x: الترقية إلى 15.5.7+
  • 16.x: الترقية إلى 16.0.7+
• إعادة نشر التطبيقات بعد الترقية حتى تعمل النسخة المصححة فعلا.

3. افتراض حدوث ما بعد الاستغلال

• تدوير الأسرار عند الحاجة
• مراجعة السجلات وسلوك وقت التشغيل
• مراقبة أي استخدام غير طبيعي للموارد

4. التعامل مع ترقيات الأطر كتغييرات إنتاجية.
تحديثات الأطر تؤثر في سلوك وقت التشغيل. ليست تغييرات شكلية.

الخلاصة الأكبر

لم يكسر React2Shell الثقة في React. بل كشف مقدار الثقة التي تحملها الحزم الحديثة افتراضيا.

التحول الحقيقي ليس "التصحيح بسرعة أكبر". بل الاعتراف بأن سلوك الإطار جزء من بنية الإنتاج، والتعامل معه بالانضباط نفسه المطبق على APIs والمصادقة والنشر.

كل منظومة توازن بين:

• السرعة مقابل الوضوح
• التجريد مقابل التحكم
• الراحة مقابل الحدود الصريحة

لا توجد حزمة آمنة تماما، بل حزم مفهومة جيدا.

الفرق التي تعاملت مع الحادثة بأفضل شكل لم تكن صاحبة أكبر عدد من الأدوات. كانت الفرق التي فهمت ما الذي ينفذ وأين، واستطاعت الاستجابة بوعي.

الخاتمة

انتشر React2Shell بسرعة ليس لأنه شديد التعقيد، بل لأنه توافق مع طريقة بناء الأطر الحديثة ونشرها.

إذا كنت تشغّل React Server Components أو Next.js App Router في الإنتاج، فتعامل مع الأمر مثل أي حادثة runtime أخرى: صحح، أعد النشر، وتحقق من أنك لم تكن متأثرا بالفعل.

ومن الآن فصاعدا، طبق القاعدة نفسها في كل مكان: إذا كان يعمل على الخادم، فهو يستحق انضباط الخادم.

المصادر

• React Security Advisory - Critical Vulnerability in React Server Components
• Google Cloud Threat Intelligence - React2Shell Exploitation
• Palo Alto Networks Unit42 - React2Shell & Next.js Vulnerabilities
• Cloudflare Threat Brief - React2Shell Exploitation & Mitigations