React2Shell على نطاق واسع: اختراق 766 خادم Next.js لحصد بيانات الاعتماد

نُشر في أبريل 13, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

استغل مجموعة تهديد تُعرف بـ UAT-10608 ثغرة CVE-2025-55182 (React2Shell)، وهي ثغرة بتقييم CVSS 10.0 في React Server Components، لاختراق 766 خادم Next.js وحصد مفاتيح AWS وأسرار Stripe ورموز منصات الذكاء الاصطناعي وبيانات اعتماد قواعد البيانات على نطاق صناعي. تم تصحيح الثغرة في ديسمبر 2025، لكن مئات الخوادم بقيت مكشوفة بعد أربعة أشهر.

خلاصة: يجب على أي مؤسسة تشغل Next.js 15.x أو 16.x التحقق من حالة التصحيحات فوراً وتدوير جميع بيانات الاعتماد المتاحة لبيئة تشغيل التطبيق، حيث تستهدف أدوات المسح الآلي بنشاط عمليات النشر غير المصححة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

مجتمع تطوير الويب الجزائري يستخدم بشكل متزايد Next.js وReact للبوابات الحكومية والتكنولوجيا المالية ومنصات التجارة الإلكترونية.

البنية التحتية جاهزة؟
جزئي
▾

مزودو الاستضافة الجزائريون موجودون لكن نضج إدارة التصحيحات يتفاوت بشكل كبير.

المهارات متوفرة؟
جزئي
▾

المطورون الجزائريون يتقنون React/Next.js، لكن خبرة أمن التطبيقات المخصصة لفرز ثغرات سلسلة التوريد محدودة.

الجدول الزمني للعمل
فوري
▾

ثغرة مُستغلة بنشاط مع أدوات آلية.

أصحاب المصلحة الرئيسيون
مديرو التكنولوجيا، مهندسو DevOps، فرق أمن التطبيقات

نوع القرار
تكتيكي
▾

يتطلب استجابة تشغيلية فورية.

خلاصة سريعة: يجب على أي مؤسسة في الجزائر تشغل تطبيقات Next.js تدقيق إصدارات React وNext.js اليوم والتصحيح فوراً. دوّروا جميع بيانات الاعتماد السحابية ومفاتيح API وكلمات مرور قواعد البيانات. طبّقوا قواعد WAF كإجراء طوارئ.

الثغرة التي تحصل على التقييم الأقصى 10

في ديسمبر 2025، كشف فريق React عن CVE-2025-55182 — ثغرة تنفيذ أوامر عن بعد قبل المصادقة في React Server Components بتقييم CVSS 10.0. الثغرة الملقبة بـ “React2Shell” تنبع من إلغاء تسلسل غير آمن في بروتوكول Flight.

تؤثر الثغرة على إصدارات React من 19.0 إلى 19.2.0 وإصدارات Next.js عبر فروع 15.x و16.x. صدرت التصحيحات في 4 ديسمبر 2025. بعد أربعة أشهر، بقيت مئات خوادم الإنتاج بدون تصحيح.

UAT-10608 وإطار NEXUS Listener

في أبريل 2026، نشر Cisco Talos تحليلاً مفصلاً لحملة حصد بيانات اعتماد آلية واسعة النطاق. اخترقت العملية 766 مضيفاً على الأقل عبر مناطق جغرافية ومزودي سحابة متعددين.

جميع البيانات المسروقة تتدفق إلى خادم قيادة وتحكم يشغل واجهة ويب مخصصة تسمى NEXUS Listener.

ما يحصده المهاجمون

النطاق المُسرّب مذهل: بيانات اعتماد AWS وAzure، مفاتيح Stripe السرية، رموز API لـ OpenAI وAnthropic وNVIDIA NIM وOpenRouter، رموز GitHub، مفاتيح SSH الخاصة، رموز Kubernetes، سلاسل اتصال قواعد البيانات بكلمات مرور نصية صريحة.

الكشف والمعالجة

المعالجة الأساسية بسيطة: الترقية إلى الإصدارات المصححة. لـ Next.js: 15.0.5، 15.1.9، 15.2.6، 15.3.6، 15.4.8، 15.5.7 و16.0.7. لـ React: 19.0.1، 19.1.2 أو 19.2.1. يجب على أي مؤسسة شغّلت إصداراً ضعيفاً تدوير جميع بيانات الاعتماد.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما هي React2Shell ولماذا حصلت على تقييم CVSS 10.0؟

React2Shell (CVE-2025-55182) هي ثغرة تنفيذ أوامر عن بعد قبل المصادقة في React Server Components ناجمة عن إلغاء تسلسل غير آمن في بروتوكول Flight. تحصل على التقييم الأقصى CVSS 10.0 لأنها لا تتطلب بيانات اعتماد ولا تفاعل مستخدم وتسمح باختراق كامل للنظام عبر طلب HTTP واحد.

كيف يمكن للمؤسسات كشف ما إذا اخترقها UAT-10608؟

ينبغي للمدافعين البحث عن عمليات غير متوقعة تنطلق من `/tmp/` بأسماء ملفات عشوائية مسبوقة بنقطة، واستدعاءات `nohup` غير مألوفة، واتصالات صادرة غير عادية.

أي بيانات اعتماد يجب تدويرها بعد تصحيح نشر Next.js ضعيف؟

جميع بيانات الاعتماد المتاحة لبيئة تشغيل التطبيق: مفاتيح AWS، بيانات Azure، مفاتيح API Stripe، رموز GitHub وGitLab، مفاتيح SSH الخاصة، سلاسل اتصال قواعد البيانات، وأي مفاتيح API لمنصات الذكاء الاصطناعي.