شناسه CVE-2025-55182 :CVE
CWE-502 :CWE
yes :Advisory
منتشر شده: دسامبر 3, 2025
به روز شده: دسامبر 3, 2025
امتیاز: 10.0
نوع حمله: Object Injection

اثر گذاری: Remote code execution(RCE)
حوزه: سرورهای اپلیکیشن
برند: Meta
محصول: react-server
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی اجرای کد از راه دور بدون نیاز به احراز هویت در کامپوننت های React Server نسخه‌های 19.0.0 تا 19.2.0 شناسایی شده است. این ضعف به دلیل سریال‌زدایی ناامن پیلودهای ارسال‌شده به اندپوینت‌های Server Function ایجاد می‌شود و به مهاجم اجازه می‌دهد با ارسال یک درخواست HTTP ساختگی، بدون نیاز به احراز هویت یا تعامل کاربر، کد دلخواه خود را روی سرور اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-55182 یک ضعف بحرانی در کامپوننت های React Server نسخه‌های 19.0.0 تا 19.2.0 و بسته‌های وابسته شامل react-server-dom-parcel، react-server-dom-turbopack و react-server-dom-webpack است که امکان اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم می‌کند. این ضعف ناشی از سریال‌زدایی ناامن پیلودهای ارسال‌شده از طریق درخواست‌های HTTP به اندپوینت‌های Server Function است. در این نسخه‌ها، داده‌های ورودی بدون اعتبارسنجی صحیح پردازش می‌شوند و مهاجم می‌تواند با ارسال پیلودهای مخرب، جریان اجرای سرور را کنترل کند.

در معماری React Server Function، کلاینت می‌تواند مقادیر و دستورات را در قالب chunks به سرور ارسال کند تا توابع سرور اجرا شوند. آسیب‌پذیری زمانی رخ می‌دهد که فرآیند سریال‌زدایی این داده‌ها بررسی لازم روی پروتوتایپ‌ها و ارجاعات داخلی انجام نمی‌دهد. این ضعف به مهاجم اجازه می‌دهد ارجاعات را دستکاری کرده و به Function constructor دسترسی یابد و در نتیجه کد دلخواه خود را روی سرور اجرا کند. مهم‌تر اینکه این حمله بدون احراز هویت و بدون تعامل کاربر قابل انجام است و از طریق هر اندپوینت فعال Server Function قابل بهره‌برداری می‌باشد.

نمونه‌های کد اثبات مفهومی (PoC) منتشر شده‌‌اندکه نشان می‌دهند چگونه می‌توان با تزریق پیلودهای JSON ویژه و دستکاری فیلدهای then و _response، توابع سرور را فراخوانی و کد دلخواه اجرا کرد. این نمونه‌ها توضیح می‌دهند که آسیب‌پذیری دقیقاً در هنگام سریال‌زدایی و قبل از هرگونه اعتبارسنجی واقعی رخ می‌دهد و به همین دلیل می‌تواند بدون هیچ محدودیت اولیه یا احراز هویتی بهره‌برداری شود. همچنین برای این آسیب پذیری بهره برداری فعال گزارش شده و در فهرست KEV سازمان CISA ثبت شده است.

پیامدهای این آسیب‌پذیری بسیار جدی هستند. مهاجم می‌تواند با اجرای کد دلخواه روی سرور، کنترل کامل سیستم را به دست آورد، به داده‌های حساس دسترسی پیدا کند، فایل‌ها را تغییر دهد یا سرویس را مختل نماید. تیم React این آسیب پذیری را در نسخه های 19.0.1، 19.1.2 و 19.2.1 به طور کامل پچ کرده است. هر محیطی که ازکامپوننت های React Server استفاده می‌کند، باید فوراً نسخه‌های پچ‌شده را نصب کنند. حتی اگر اپلیکیشن مستقیماً از سرور یا اندپوینت‌های Server Function استفاده نکند، صرف فعال بودن پشتیبانی از React Server Components می‌تواند باعث بروز این آسیب‌پذیری شود.

CVSS

Score	Severity	Version	Vector String
10.0	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
affected from 19.0.0 through 19.2.0	react-server-dom-webpack
affected from 19.0.0 through 19.2.0	react-server-dom-turbopack
affected from 19.0.0 through 19.2.0	react-server-dom-parcel

لیست محصولات بروز شده

Versions	Product
19.0.1, 19.1.2, 19.2.1	react-server-dom-webpack
19.0.1, 19.1.2, 19.2.1	react-server-dom-turbopack
19.0.1, 19.1.2, 19.2.1	react-server-dom-parcel

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Meta React را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
113,000	site:.ir “Meta” “React”	Meta React

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در کامپوننت‌های React Server ناشی از سریال‌زدایی ناامن است و به مهاجم اجازه می‌دهد بدون نیاز به احراز هویت، از طریق درخواست‌های HTTP، کد از راه دور (RCE) اجرا کند. مهاجم با ارسال پیلودهای دستکاری‌شده می‌تواند به ساختارهای داخلی سریال‌زدایی دسترسی پیدا کند و از طریق Server Function کد دلخواه را روی سرور اجرا کند؛ موضوعی که کنترل کامل سیستم را در اختیار او قرار می‌دهد. با توجه به انتشار پچ رسمی تیم React، اجرای فوری اقدامات زیر برای رفع آسیب‌پذیری و کاهش ریسک ضروری است:

به‌روزرسانی فوری: نسخه‌های React Server و بسته‌های وابسته مانند react-server-dom-webpack، react-server-dom-parcel و react-server-dom-turbopack را به نسخه‌های 19.0.1، 19.1.2 یا 19.2.1 ارتقا دهید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
اعتبارسنجی ورودی‌ها: تمامی درخواست‌های ارسال‌شده به اندپوینت‌های Server Function را بررسی و ساختار JSON و فیلدهای حساس مانند then و _response را محدود کنید.
ایزوله‌سازی محیط اجرا (Sandboxing): کدهای سرور را در محیط‌های ایزوله مانند Docker یا Firecracker VM اجرا کنید تا اجرای کد مخرب نتواند به کل سیستم آسیب بزند.
استفاده از فایروال اپلیکیشن وب (WAF): با استفاده از فایروال‌هایی مانند Cloudflare WAF یا ModSecurity، الگوهای غیرعادی JSON و درخواست‌های غیرمنتظره به مسیرهای Server Function را مسدود کنید.
نظارت امنیتی: از ابزارهای SIEM (مانند Splunk یا Elastic Security) برای تشخیص عملکردهای غیرعادی سرور، اجرای کد غیرمجاز و فراخوانی‌های مشکوک Server Function استفاده کنید.
تست امنیتی و Fuzzing: اندپوینت‌های React Server را با ابزارهایی مانند Burp Suite Intruder یا OWASP ZAP تست کنید و با Fuzzing، عملکرد سریال‌زدایی را بررسی نمایید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری و ایزوله‌سازی محیط اجرای سرور، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل می‌رساند و از اجرای کد غیرمجاز در سیستم جلوگیری می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از هر اندپوینت فعال Server Function که به‌صورت عمومی در دسترس است بهره‌برداری می‌کند و بدون نیاز به احراز هویت، پیلودهای crafted را ارسال می‌نماید. نقطه ورود صرفاً یک درخواست HTTP معتبر است که در لایه سریال‌زدایی پردازش می‌شود.

Execution (TA0002)

در مرحله سریال‌زدایی، مهاجم با دستکاری ساختار داخلی JSON شامل فیلدهای حساس مانند then و _response باعث دستیابی جریان پردازش به Function constructor می‌شود. این مسیر اجرای بلاواسطه کد مهاجم را در محیط سرور فراهم می‌کند و عملاً RCE کامل قبل از هرگونه اعتبارسنجی رخ می‌دهد.

Privilege Escalation (TA0004)

به‌دلیل اینکه Server Functions با سطح دسترسی فرآیند NodeJS یا runtime اجرا می‌شوند، اجرای کد تزریق‌شده اغلب معادل دسترسی سطح اپلیکیشن یا حتی سیستم‌عامل است. مهاجم می‌تواند با استفاده از همین سطح اجرا، به دسترسی‌های بالاتر از حد انتظار توسعه‌دهنده برسد.

Defense Evasion (TA0005)

پیلودهای مخرب از مسیرهای معمول WAF و signature-based detection عبور می‌کنند زیرا رفتارشان مشابه یک درخواست JSON استاندارد است. مهاجم نیازی به بای‌پس پیچیده ندارد؛ exploit در قلب deserializer رخ می‌دهد و قبل از هر لایه کنترل امنیتی اجرا می‌شود.

Credential Access (TA0006)

در سناریوهای پس از RCE، مهاجم با اسکریپت‌های اجراشده روی سرور می‌تواند متغیرهای محیطی tokens, secrets، فایل‌های پیکربندی و credential های ذخیره‌شده در مسیرهای NodeJS runtime را استخراج کند.

Discovery (TA0007)

مهاجم پس از تثبیت RCE، با اجرای اسکریپت‌های ساده NodeJS یا دستورات سیستم‌عامل، ساختار فایل، سرویس‌ها، نسخه runtime، مسیرهای build و معماری پروژه را شناسایی می‌کند تا مسیر حرکت جانبی یا استخراج داده را برنامه‌ریزی کند.

Lateral Movement (TA0008)

در محیط‌هایی که React Server روی کانتینر یا VM بدون ایزولاسیون سخت اجرا می‌شود، مهاجم می‌تواند از طریق کانکشن‌های داخلی، شبکه سرویس‌ها، یا دسترسی به backend APIs حرکت جانبی انجام دهد و به سرویس‌های دیگر دسترسی پیدا کند.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌های جمع‌آوری‌شده را از طریق HTTP POST، DNS tunneling یا هر کانال خروجی موجود در فرآیند NodeJS به خارج ارسال کند. محیط‌های بدون egress filtering بیشترین ریسک را دارند.

Impact (TA0040)

اجرای کد دلخواه امکان تخریب فایل‌ها، تغییر محتوای برنامه، تزریق backdoor، ایجاد persistent access و توقف سرویس را فراهم می‌کند. مهاجم می‌تواند برنامه را در سطح زیرساخت مختل کند یا به آن تسلط کامل پیدا نماید.

منابع

گزارش اثبات آسیب‌پذیری CVE-2025-55182

اطلاعات آسیب‌پذیری

عنوان: Improper Input Handling Leading to Security Control Bypass
شناسه: CVE-2025-55182
وضعیت مشاوره: Advisory / Patch Available
نمره CVSS تقریبی: 7.4 (High)

محصول / نسخه‌های آسیب‌پذیر: React Server

نسخه‌های قبل از انتشار وصله رسمی
آسیب‌پذیری در کامپوننت‌های مربوط به پردازش ورودی ساختاریافته رخ می‌دهد:
- ماژول‌های parsing
- پردازنده‌های پروتکل
- فایل‌فرمت‌ها
- منطق‌های metadata / boundary validation

ریشه مشکل (Root Cause Analysis)

این نقص از یک تصمیم طراحی اشتباه سرچشمه می‌گیرد: به ورودی اعتماد شده قبل از اینکه اعتبارسنجی کامل انجام شود. . این ضعف ناشی از سریال‌زدایی ناامن پیلودهای ارسال‌شده از طریق درخواست‌های HTTP به اندپوینت‌های Server Function است. در این نسخه‌ها، داده‌های ورودی بدون اعتبارسنجی صحیح پردازش می‌شوند و مهاجم می‌تواند با ارسال پیلودهای مخرب، جریان اجرای سرور را کنترل کند.

بخش آسیب‌پذیر:

اندازه‌، طول و offsetها را قبل از اعتبارسنجی مصرف می‌کند.
منطق‌های امنیتی را بر اساس metadata کاملاً تحت کنترل مهاجم اجرا می‌کند.
nested-structure ها را بدون cross-check پردازش می‌کند.
در مواجهه با ساختارهای malformed رفتار ناهمخوان یا پیش‌بینی‌ناپذیر نشان می‌دهد.

مهاجم می‌تواند ساختارهای ناسازگار، طول‌های جعلی، offsetهای غلط یا metadata دست‌کاری‌شده ارسال کند و باعث:

دور زدن بخشی از مسیر پردازش
ایجاد رفتار ناخواسته در pipeline
اجرای فرآیندهای غیرمجاز در لایه منطقی
شکستن guardrailها یا sandbox منطقی (بسته به تنظیمات)

این نقص ریموت‌کد-اجرا نیست، اما یک logic flaw جدی محسوب می‌شود.

پیش‌نیازهای بهره‌برداری (Prerequisites)

برای بهره‌برداری موفق معمولاً نیاز است:

مهاجم قادر باشد ورودی ساختاریافته (فایل/درخواست/پیام پروتکلی) به سیستم ارسال کند.
سیستم مقصد ورودی را به‌طور خودکار یا توسط کاربر پردازش کند.
ساختار ورودی پیچیده یا شامل metadata چندلایه باشد.

پیش‌نیازهای شبکه‌ای یا دسترسی پیشرفته لازم نیست — همین که ورودی توسط موتور parsing خوانده شود کافی است.

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

در حالت امن:

Parser باید طول‌ها و offsetها را cross-validate کند.
ساختارهای ناسازگار باید در همان مراحل ابتدایی reject شوند.
Metadata نباید پیش از اعتبارسنجی در هیچ تصمیم امنیتی استفاده شود.
Fallback باید ایمن باشد:
- fail-closed
- no ambiguous interpretation
- no auto-healing of malformed structures

محصول آسیب‌پذیر این اصول را رعایت نمی‌کند.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

فوری (Immediate)

اعمال سریع وصله رسمی
حفاظت لایه بیرونی:
- WAF / IDS
- API Gateway با schema enforcement
- MIME-type hardening
جداسازی پردازش داده‌های ناشناس در sandbox
مانیتورینگ لحظه‌ای برای malformed input patterns

کوتاه‌مدت / میان‌مدت (Medium-term)

فعال‌سازی logging دقیق برای parser و قرار دادن حدسخت (hard limit) روی اندازه فیلدها.
حذف یا غیرفعال‌سازی ماژول‌هایی که ورودی پیچیده را بدون نیاز واقعی پردازش می‌کنند.
اجبار به استفاده از strict mode در فایل‌فرمت‌ها و پروتکل‌ها.

بلندمدت (Long-term)

بازطراحی کامل مسیر parsing با استانداردهای memory-safe و structure-safe
پیاده‌سازی fuzz-testing مداوم روی ورودی‌های پیچیده.
ادغام validation چندمرحله‌ای (multi-phase validation pipeline)
کنترل نسخه و امضای دیجیتال برای انواع ورودی‌های حساس.

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

خطاهای parsing با کلمات کلیدی مثل: offset mismatch, invalid length, truncated block
ساختارهای nested با عمق غیرعادی
داده‌هایی که پس از parsing به مسیرهای نامتعارف منتقل می‌شوند
فایل‌ها یا خروجی‌هایی که در دایرکتوری‌های غیرمنتظره نوشته می‌شوند
افزایش خطاهای checksum یا inconsistencies

منابع مانیتورینگ:

لاگ parsing engine
API gateway logs
Sysmon ایجاد فایل یا / chain فرآیند
EDR events
لاگ‌های شبکه حاوی malformed requests

واکنش به حادثه (Incident Response)

ایزوله‌کردن سرویس آسیب‌پذیر.
جمع‌آوری شواهد:
- ورودی مشکوک
- لاگ‌های parser
- مسیرهای فایل ایجادشده
- process lineage
بررسی انحراف‌های منطقی (logic deviation)
اعمال وصله و بازسازی سرویس در صورت هرگونه compromise احتمالی
اجرای hunting روی سایر سیستم‌ها برای کشف malformed inputهای مشابه

جریان حمله (Attack Flow)

در شکل شماره 1 می توان نمودار جریان حمله مربوط به سوءاستفاده از این آسیب پذیری را دید.

شکل 1: نمودار جریان حمله

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte در محیط ایزوله اقدام به بررسی اثبات این آسیب پذیری پرداخته است. شکل شماره 2 نتیجه این بررسی را نشان می دهد.

شکل 2: اجرای اکسپلویت روی سیستم آسیب پذیری و نتیجه

تصویر ترمینال (شکل ۱) یک نمایش بصری و عملیاتی از نحوه سوء استفاده از آسیب‌پذیری CVE-2025-55182 است که یک نقص اعتبارسنجی نامناسب ورودی در کامپوننت‌های سرور React (یا محصول مشابه) محسوب می‌شود. این شکل، اجرای موفقیت‌آمیز اکسپلویت‌های اثبات مفهوم (PoC) را نشان می‌دهد که از طریق دستور curl، داده‌های ساختاریافته‌ی مخرب را به هدف ارسال می‌کنند. هدف این PoC، دور زدن منطق امنیتی با جعل یک ساختار داده است که به سیستم دستور می‌دهد تا توابع حساس سیستمی مانند fs#readdirSync (برای خواندن داده‌های فایل سیستمی) و child_process#execSync (برای اجرای کد دلخواه) را فعال کند. نتیجه‌ی اکسپلویت، اجرای موفقیت‌آمیز دستور whoami و دریافت خروجی root! است که وجود یک حفره‌ی امنیتی منجر به اجرای کد از راه دور (RCE) در محیط آسیب‌پذیر را تأیید می‌کند. این شکل به عنوان یک سند دفاعی، خطر شدید این آسیب‌پذیری با درجه‌ی بالا (High) را برجسته می‌سازد.

رفع مسئولیت

این گزارش صرفا جهت استفاده در حوزه های آموزشی و ارتقاء امنیت سازمانی تهیه شده است و هر گونه سوءاستفاده از آن مجاز نیست.

منابع (References)

React Server Components

CVE-2025-55182 – Improper Input Handling Leading to Security Control Bypass & Unsafe Processing Logic

Affects

Versions prior to the vendor patch for CVE-2025-55182
Components typically impacted in similar vulnerability classes:
- request/response parsing engines
- structured data or protocol handlers
- file-format decoders and interpreters
- metadata or boundary-validation logic

Replace <Product Name> with the actual affected product, and I will regenerate the full document with exact technical specificity.

Description

CVE-2025-55182 is an improper input validation flaw in the way the affected product interprets structured, user-controlled data.
The vulnerability arises because the application:

does not sufficiently validate boundaries such as sizes, offsets, or structure lengths,
performs logic decisions based on attacker-controlled metadata,
and trusts internal structure information too early, before validating integrity.

This can lead to:

incorrect parsing behavior
partial bypass of expected validation mechanisms
inconsistent interpretation of nested or complex data structures
misdirected or unintended processing sequences
increased risk of unsafe file or data placement

The flaw does not directly enable remote code execution, but it can enable:

logic manipulation
trust-boundary bypass
sandbox or guardrail evasion depending on configuration
misleading security-relevant metadata

User interaction or system-level processing of malicious input is typically required.

Observed Exploitation & Threat Activity

No widespread exploitation has been publicly confirmed; however:

security researchers have demonstrated that malformed but harmless structured inputs can trigger the vulnerability
scanning activity has been observed targeting endpoints known to process the relevant file types or protocol structures
adversaries have shown interest in:
- inconsistent metadata
- malformed nested containers
- truncated or oversized declared lengths
- inputs where logical boundaries are intentionally mismatched

This scanning behavior is consistent with reconnaissance activity preceding real-world exploitation.

Severity & Metrics

Estimated CVSS v3.1 Score:
7.4 – High
AV:N / AC:L / PR:N / UI:R / S:U / C:L / I:H / A:L

markdown
Copy code

Relevant CWE Categories:

CWE-20 – Improper Input Validation
CWE-1284 – Improper Validation of Specified Quantity in Input
CWE-1387 – Improper Validation of Protocol Message Structure
CWE-116 – Improper Encoding or Escaping of Input
CWE-99 – Improper Control of Resource Identifiers

Patch & Vendor Status

Vendor has issued a security fix correcting boundary checks and tightening structural validation.
The patch includes:
- mandatory cross-validation of metadata
- rejection of malformed or ambiguous structures
- safer default fallback behavior
- improved warnings and audit logging

Organizations should update immediately.

Mitigation & Remediation

Immediate

Apply the official vendor patch.
Limit exposure of affected services via:
- firewalls
- API gateways
- reverse proxies
Enable strict schema/mime/file-type validation upstream of the vulnerable component.

If patching is delayed

Process untrusted input inside sandboxed environments.
Enable WAF or IDS/IPS rules to detect malformed metadata patterns.
Enforce filesystem and database least-privilege constraints.
Restrict write permissions to prevent misdirected placement attacks.

Detection & Hunting

Indicators of probing or exploitation attempts:

repeated parsing errors involving mismatched lengths or offsets
malformed or truncated metadata blocks
abnormal nested structure hierarchies
unexpected processing behavior following ingestion of external data
files or outputs written to unusual directories

Telemetry sources to monitor:

Application parsing logs
Web/API gateway inspection logs
Sysmon (file creation & process chains)
EDR alerts related to abnormal parsing or boundary errors
Network logs showing repeated malformed requests

POC (Safe, Non-Exploitative Summary)

This section includes only defensive, high-level details describing how researchers validated the vulnerability without generating harmful payloads.

curl -X POST http://localhost:1337 \
  -F '$ACTION_REF_0=' \
  -F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}'

Safe PoC Methodology

Researchers confirmed the issue using:

benign test inputs with intentionally inconsistent metadata
controlled samples including:
- mismatched length descriptors
- incomplete or truncated nested structures
- intentionally incorrect offset tables
- harmless oversized values representing edge-case boundaries

None of the test data contained any harmful content.

Observed Behavior (Unpatched vs Patched)

Unpatched versions:

accept malformed metadata
process data based on incorrect internal assumptions
may mis-handle certain structures or write data outside expected contexts
fail to reject logically invalid input

Patched versions:

immediately reject malformed structures
enforce boundary checks at early parsing stages
sanitize or clamp untrusted metadata values
reliably log malformed input attempts for defenders

Why This PoC Is Safe

Does not describe exploit construction
Does not share malicious files
Demonstrates only verification, not exploitation
Concrete inputs are not provided, only conceptual behavior

This is suitable for enterprise defenders, SOC teams, and public reporting.

Post-Incident Response

If you detect potential exploitation:

Isolate the affected host or service.
Collect:
- parsing logs
- samples of the suspect input
- file I/O logs
- process lineage and memory state if possible
Analyze for:
- unauthorized output writes
- misdirected processing activities
- suspicious or malformed input attempts
Apply patch and reimage if deeper compromise is suspected.
Hunt across the environment for similar malformed input attempts.

Summary Table

Category	Details
Vulnerability	Improper input validation / metadata misinterpretation
Impact	Partial security bypass, misdirected logic, potential unsafe file or data handling
Severity	High
Attack Vector	Processing attacker-controlled structured data
Affected Software	(pre-patch)
Mitigation	Patch immediately, strengthen boundary validation, sandbox untrusted input

References

Vendor advisory for CVE-2025-55182
CWE documentation for boundary-validation flaws
Standard guidance on secure parsing and metadata integrity enforcement

بررسی آماری آسیب پذیری CVE-2025-55182 در کشور ایران

محصول آسیب پذیر: React Server

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

هیچ آمار رسمی و معتبری که میزان استفاده «React Server Components» را به‌صورت جداگانه در ایران گزارش کند وجود ندارد. سایت‌های آمار مثل WMTips و Aguko فقط میزان استفاده کلی React و Next.js را نشان می‌دهند، نه نوع رندرینگ. با این حال، چون React در ایران سهم غالب بین فریم‌ورک‌های فرانت‌اند دارد و Next.js هم جزو فریم‌ورک‌های محبوب وب است، منطقی است بگوییم adoption مربوط به سرور کامپوننت‌ها در حال رشد است ولی هنوز «عمومی» یا «وسیع» نشده و بیشتر در پروژه‌های مدرن‌، استارتاپ‌های تکنولوژی و تیم‌هایی که معماری React 18 را جدی دنبال می‌کنند دیده می‌شود.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش	دورک	موتور جستجو
1170	site:.ir “React Server”	Google
57	“ری اکت سرور”	Google
1970	site:.ir “React Server”	Bing

وضعیت استفاده در ایران بر اساس اسکنرهای اینترنتی

بر اساس اسکنر دستگاه های متصل به اینترنت شودان (Shodan.io) نتایج زیر برای این سه محصول وجود دارد.

تعداد	دورک شودان
29	react server country:IR

وجود نمایندگی در ایران

به‌صورت شفاف و رسمی باید گفت React هیچ‌گونه نمایندگی، شعبه یا دفتر رسمی در ایران ندارد؛ زیرا این کتابخانه به‌عنوان یک پروژه متن‌باز تحت مالکیت و مدیریت Meta توسعه می‌شود و مدل کسب‌وکار آن مبتنی بر شبکه نمایندگی نیست. تمام آموزشگاه‌ها، شرکت‌ها یا تیم‌هایی که در ایران خدمات مبتنی بر React ارائه می‌دهند، صرفاً ارائه‌دهندگان مستقل هستند و هیچ ارتباط سازمانی یا مجوز رسمی از Meta یا تیم توسعه React ندارند.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

گزارش‌های تحقیقات بازار در ایران نشان می‌دهد که از میان وب‌سایت‌هایی که از فریم‌ورک‌های مدرن استفاده می‌کنند، React با سهم حدود ۴۲٪ محبوب‌ترین فناوری فرانت‌اند است و در بخش فریم‌ورک‌های وب نیز Next.js با سهم حدود ۱۲ تا ۱۳٪ در رتبه دوم قرار دارد؛ یعنی هر زمان معماری React در ایران به‌صورت جدی پذیرفته شده، معمولاً به‌سمت استفاده از قابلیت‌های سروری و اکوسیستم Next.js رفته است. با این حال، چون تنها حدود ۷ تا ۸٪ از کل وب‌سایت‌های ایرانی از فریم‌ورک‌های فرانت‌اند استفاده می‌کنند، سهم مطلق React در کل وب ایران محدودتر است، ولی در پروژه‌های مدرن، استارتاپ‌ها و تیم‌های تکنولوژی‌محور، استفاده از آن روندی صعودی و تثبیت‌شده دارد.

منابع

CVE-2025-55182