روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در سوم دسامبر اعلام شد که یک آسیبپذیری بسیار خطرناک با شناسه CVE-2025-55182 و امتیاز ۱۰ شناسایی و برطرف شده است. این آسیبپذیری در مؤلفههای سمت سرور ریاکت و همچنین در تعدادی از پروژهها و فریمورکهای وابسته به آن شناسایی شده است؛ از جمله نکستجیاس، پیشنمایش مؤلفههای سمت سرور در ریاکت روتر، ردوود اسدیکی، واکو و افزونههای سمت سرور ویَت و پارسل. این نقص امنیتی به هر مهاجم بدون احراز هویت اجازه میدهد تنها با ارسال یک درخواست به سرور آسیبپذیر، کد دلخواه خود را اجرا کند. با توجه به اینکه دهها میلیون وبسایت، از جمله ایربیانبی و نتفلیکس، بر پایه ریاکت و نکستجیاس ساخته شدهاند و نسخههای آسیبپذیر این مؤلفهها در حدود سی و نه درصد از زیرساختهای کلود یافت شدهاند، دامن اکسپلویت میتواند بسیار جدی باشد. اقدامهای حفاظتی برای محافظت از خدمات آنلاین باید فوراً انجام شود.ابتدا برای آسیبپذیری موجود در نکستجیاس یک شناسه جداگانه با عنوان CVE-2025-66478ایجاد شد، اما بعداً مشخص شد که تکراری است و در نتیجه نقص نکستجیاس نیز تحت همان CVE-2025-55182قرار میگیرد.
ساز و کار آسیبپذیری React4Shell
ریاکت یک کتابخانه محبوب جاوااسکریپتی برای ایجاد رابط کاربری برنامههای وب است. به کمک مؤلفههای سمت سرور که از سال ۲۰۲۰ و با نسخه هجده ریاکت معرفی شدند، بخشی از فرآیند ساخت صفحه وب نه در مرورگر، بلکه در سرور انجام میشود. کد صفحه وب میتواند توابع ریاکت را که روی سرور اجرا میشوند فراخوانی کند، نتیجه اجرای آنها را دریافت کرده و در صفحه وب قرار دهد. این کار باعث میشود برخی وبسایتها سریعتر اجرا شوند، زیرا مرورگر نیازی به بارگذاری کدهای غیرضروری ندارد. مؤلفههای سمت سرور برنامه را به دو بخش تقسیم میکنند: مؤلفههای سمت سرور و مؤلفههای سمت کاربر. مؤلفههای سمت سرور میتوانند عملیات سروری مانند پرسوجوی پایگاه داده، دسترسی به اسرار و انجام محاسبات پیچیده را انجام دهند، در حالی که مؤلفههای سمت کاربر روی دستگاه کاربر تعاملی باقی میمانند. برای انتقال سریع دادههای سریالسازیشده بین کاربر و سرور، از یک پروتکل سبک مبتنی بر اچتیتیپی به نام فلایت استفاده میشود.
آسیبپذیری CVE-2025-55182در پردازش درخواستهای فلایت[1] قرار دارد؛ بهطور دقیقتر در غیرایمن بودن فرایند بازسازی دادهها از جریانهای ورودی. نسخههای ۱۹.۰.۰، ۱۹.۱.۰، ۱۹.۱.۱ و ۱۹.۲.۰ مؤلفههای سمت سرور ریاکت آسیبپذیر هستند؛ بهطور مشخصتر بستههای ریاکت سرور دام پارسل، ریاکت سرور دام توربوپک و ریاکت سرور دام وبپک. نسخههای آسیبپذیر نکستجیاس شامل ۱۵.۰.۴، ۱۵.۱.۸، ۱۵.۲.۵، ۱۵.۳.۵، ۱۵.۴.۷، ۱۵.۵.۶ و ۱۶.۰.۶ هستند.برای اکسپلویتِ این آسیبپذیری، مهاجم میتواند با ارسال یک درخواست ساده HTTP به سرور، پیش از احراز هویت یا هرگونه بررسی امنیتی، اجرای یک پردازه روی سرور با دسترسی ریاکت را آغاز کند.
در حال حاضر گزارشی از بهرهبرداری عملی از این آسیبپذیری در سطح گسترده منتشر نشده است، اما کارشناسان معتقدند که این امر امکانپذیر است و به احتمال زیاد در مقیاس وسیع رخ خواهد داد. شرکت امنیت سایبری Wizاعلام کرده است که نمونه آزمایشی اجرای کد از راه دور آنها با نزدیک به صد درصد اطمینان کار میکند. نمونهای اولیه از این اکسپلویت هماکنون در گیتهاب در دسترس است و بنابراین برای مهاجمان تطبیق آن و راهاندازی حملات گسترده دشوار نخواهد بود.
ریاکت اولش برای ساخت کد سمت کاربر طراحی شده بود که در مرورگر اجرا میشود و مؤلفههای سمت سرور دارای آسیبپذیری پدیدهای نسبتاً جدید هستند. بسیاری از پروژههایی که بر پایه نسخههای قدیمیتر ریاکت ساخته شدهاند یا پروژههایی که در آنها مؤلفههای سمت سرور غیرفعال است، تحت تأثیر این آسیبپذیری قرار نمیگیرند.با این حال، اگر پروژهای از توابع سمت سرور استفاده نکند، به این معنا نیست که ایمن است، زیرا ممکن است مؤلفههای سمت سرور همچنان فعال باشند. وبسایتها و سرویسهایی که بر پایه نسخههای جدید ریاکت با تنظیمات پیشفرض ساخته شدهاند، برای مثال برنامههای نکستجیاس که با ابزار ایجاد پیشفرض این فریمورک ساخته میشوند، آسیبپذیر خواهند بود.
راهکارهای امنیتی
بهروزرسانیها: کاربران ریاکت باید به نسخههای ۱۹.۰.۱، ۱۹.۱.۲ یا ۱۹.۲.۱ ارتقا دهند. کاربران نکستجیاس نیز باید به نسخههای ۱۵.۱.۹، ۱۵.۲.۶، ۱۵.۳.۶، ۱۵.۴.۸، ۱۵.۵.۷ یا ۱۶.۰.۷ بهروزرسانی شوند.
محافظت از سوی ارائهدهندگان کلود: ارائهدهندگان بزرگ خدمات کلود قوانینی را برای فیلترهای وب در سطح برنامه منتشر کردهاند تا از اکسپلویتِ این آسیبپذیری جلوگیری شود. در برخی موارد این قوانین بهصورت خودکار اعمال میشوند و در برخی دیگر نیاز به فعالسازی دستی دارند. با این حال، همه ارائهدهندگان تأکید کردهاند که این نوع محافظت فقط زمان میخرد تا عملیات پچ انجام شده و مؤلفههای سمت سرور همچنان باید در تمام پروژهها بهروزرسانی شوند.
محافظت از سوی سرویسهای وب روی سرورهای اختصاصی: راحتترین روش، استفاده از قوانین تشخیص در فایروال یا سیستم فیلتر وب برای جلوگیری از سوءاستفاده است. بیشتر شرکتهای امنیتی این قوانین را آماده کردهاند، اما میتوان آنها را بهصورت دستی هم ساخت، مثلا با استفاده از فهرست درخواستهای خطرناک.
اگر تحلیل و فیلتر دقیق ترافیک وب در محیط شما ممکن نیست، باید تمام سرورهایی که مؤلفههای سمت سرور در آنها در دسترس هستند شناسایی شده و دسترسی به آنها بهشدت محدود شود. برای سرویسهای داخلی میتوان درخواستها از محدودههای آدرس نامعتبر را مسدود کرد و برای سرویسهای عمومی میتوان فیلتر اعتبار آدرس و محدودیت نرخ درخواست را تقویت نمود.یک لایه حفاظتی تکمیلی نیز با استفاده از عاملهای نظارتی و پاسخ روی نقاط پایانی نصبشده روی سرورهای دارای مؤلفه سمت سرور فراهم میشود. این عاملها میتوانند رفتارهای غیرعادی ریاکت سرور را پس از بهرهبرداری شناسایی کرده و از گسترش حمله جلوگیری کنند.
بررسی عمیق: اگرچه هنوز اکسپلویت گسترده از این آسیبپذیری تأیید نشده است، اما نمیتوان احتمال وقوع آن را نادیده گرفت. توصیه میشود گزارشهای ترافیک شبکه و محیطهای کلود بررسی شوند و در صورت شناسایی درخواستهای مشکوک، یک پاسخ کامل انجام گیرد که شامل تغییر کلیدها و سایر اسرار موجود روی سرور باشد. نخستین نشانههای فعالیت پس از نفوذ که باید به آنها توجه شود عبارتند از شناسایی محیط سرور، جستوجوی اسرار مانند فایلهای تنظیمات و توکنهای استقرار خودکار و نصب پوستههای وب است.
[1]فلایت یک پروتکل سبک مبتنی بر HTTP است که در ریاکت سرور کامپوننت استفاده میشود تا اطلاعات بین سرور و مرورگر بهسرعت منتقل شود. به زبان ساده، فلایت مثل یک مسیر سریع برای ارسال دادههای آماده شده روی سرور به مرورگر است، بدون اینکه مرورگر مجبور باشد همه کدها را اجرا کند. این کار باعث میشود وبسایت سریعتر بارگذاری شود.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
