❗️در دنیای توسعه وب، به ندرت شاهد حفرههای امنیتی با حداکثر شدت ۱۰/۱۰ هستیم،
مشتریانی که در پروژه هاشون React یا Next.js استفاده میکنند حتما جدی بگیرند ، آلودگی حتی یک سرور شما میتواند منجر به الودگی ده ها سرور دیگر در شبکه شما گردد:
طبق CVE-2025-66478 و CVE-2025-55182 یک آسیبپذیری بحرانی در Next.js/React Server Components گزارش شده که میتواند به اجرای کد از راه دور روی سرور منجر شود.
اقدام فوری (الزامی)
همین حالا Next.js و پکیجهای مرتبط با React/RSC را فوراً به نسخههای اصلاحشده (patched) طبق اطلاعیه رسمی ارتقا دهید.
اگر امکان آپدیت فوری ندارید، تا زمان ارتقا ریسک را با محدودسازی دسترسیها (WAF/Reverse proxy rules، محدود کردن ورودیها) کاهش دهید.
بعد از آپدیت (حتماً انجام شود)
تمام secrets را Rotate کنید (توکنها، API Keyها، دسترسی دیتابیس و …) چون در سناریوهای RCE احتمال افشای اطلاعات وجود دارد.
لاگها و مانیتورینگ را برای درخواستهای غیرعادی و رفتارهای مشکوک روی سرور بررسی/تقویت کنید و هر رخداد مشکوک را incident فرض کنید و سرور و سیستم عامل را الوده در نظر بگیرید و مجدد همه چیز را تمیز نصب کنید
