13 ثغرة حرجة في Next.js وReact Server Components: تطبيقات الويب المالية تحت التهديد

أصدرت Vercel تحديثاً أمنياً منسقاً لإطار العمل Next.js يعالج 13 ثغرة أمنية دفعة واحدة، تتراوح بين حجب الخدمة DoS وتجاوز طبقات المصادقة في Middleware وصولاً إلى هجمات SSRF وتسميم ذاكرة التخزين المؤقت. هذا التحديث يمثل أكبر إصلاح أمني في تاريخ Next.js، ويطال كل تطبيق يعمل بمعمارية App Router — بما في ذلك منصات الخدمات المصرفية الرقمية وبوابات الدفع التي تعتمدها مؤسسات مالية سعودية عديدة.

حجب الخدمة عبر React Server Components: CVE-2026-23870

تُصنّف هذه الثغرة بدرجة خطورة عالية وتؤثر على جميع إصدارات Next.js من 13.x حتى 16.x التي تستخدم App Router. يستطيع المهاجم إرسال طلب HTTP مُصاغ خصيصاً إلى أي نقطة نهاية Server Function، وعند فك تسلسل البيانات deserialization يتم استهلاك موارد المعالج بشكل مفرط حتى يتوقف التطبيق عن الاستجابة. السيناريو الأخطر هنا هو استهداف بوابة مصرفية إلكترونية خلال ساعات الذروة — تخيل توقف خدمة تحويلات أو سداد فواتير لملايين العملاء بسبب طلب HTTP واحد مُعدّ بعناية.

تجاوز Middleware: ثلاث ثغرات تُبطل حماية المصادقة

كشف التحديث عن ثلاث ثغرات منفصلة تسمح بتجاوز قواعد Middleware في تطبيقات App Router. المشكلة الجوهرية أن طلبات مُصاغة بامتدادات .rsc وsegment-prefetch تصل إلى نفس الصفحة المحمية دون أن تمر بفحوصات Middleware المُعدّة للتحقق من الهوية والصلاحيات. هذا يعني أن أي تطبيق يعتمد على Middleware كطبقة وحيدة للتحكم في الوصول — وهو نمط شائع جداً — مكشوف أمام وصول غير مصرح به للبيانات والوظائف المحمية.

الثغرة الثالثة CVE-2026-44573 أشد خطورة لأنها تستهدف تطبيقات Pages Router المُهيأة مع دعم اللغات المتعددة i18n. طلبات بصيغة /_next/data/<buildId>/<page>.json بدون تحديد اللغة تتجاوز Middleware كلياً، مما يتيح للمهاجم استخراج بيانات JSON المُعالجة من جهة الخادم لصفحات محمية دون اجتياز أي فحص مصادقة.

SSRF عبر WebSocket: CVE-2026-44578

تمكّن هذه الثغرة عالية الخطورة المهاجم من تنفيذ هجمات Server-Side Request Forgery عبر طلبات ترقية WebSocket المُعدّلة في بيئات Node.js المُستضافة ذاتياً. يستطيع المهاجم التلاعب بالخادم لإرسال طلبات إلى خدمات داخلية أو نقاط نهاية البيانات الوصفية السحابية cloud metadata endpoints. في بيئة AWS أو Azure، يعني هذا إمكانية الوصول إلى مفاتيح IAM وأسرار التشغيل المخزنة في instance metadata — بوابة مفتوحة للتحرك الأفقي داخل البنية التحتية بأكملها.

التأثير المباشر على المؤسسات المالية السعودية

يُعد Next.js من أكثر أطر العمل استخداماً في بناء تطبيقات الويب الحديثة، وتعتمد عليه كثير من شركات التقنية المالية Fintech والبنوك الرقمية في المملكة لبناء واجهات العملاء وبوابات الخدمات المصرفية. ثغرات تجاوز المصادقة تمثل انتهاكاً مباشراً لمتطلبات SAMA CSCC في نطاق إدارة الهوية والوصول Identity and Access Management، بينما ثغرات SSRF تخالف ضوابط عزل الشبكات وحماية البنية التحتية. كذلك فإن ثغرة حجب الخدمة تتعارض مع متطلبات استمرارية الأعمال Business Continuity التي تفرضها المادة 3.3 من إطار SAMA CSCC.

من جهة NCA ECC، فإن الفشل في تطبيق التحديثات الأمنية الحرجة خلال الإطار الزمني المحدد يُعد مخالفة لضابط إدارة الثغرات Vulnerability Management ضمن النطاق الفرعي 2-7. أما على صعيد PDPL، فإن تجاوز طبقات المصادقة قد يؤدي لتسريب بيانات شخصية للعملاء، مما يستوجب إخطار الجهة المختصة والمتضررين وفق المادة 20 من النظام.

التوصيات والخطوات العملية

1. ترقية فورية: حدّث Next.js إلى آخر إصدار مُصحّح. لا توجد حلول بديلة workarounds — التحديث هو العلاج الوحيد الشامل لجميع الثغرات الـ13.
2. مراجعة معمارية المصادقة: لا تعتمد على Middleware وحده كطبقة تحكم في الوصول. أضف فحوصات مصادقة وتفويض على مستوى Server Components وAPI Routes أيضاً باستخدام نمط defense-in-depth.
3. تقييد الوصول لـ metadata endpoints: في بيئات AWS استخدم IMDSv2 مع hop limit=1، وفي Azure فعّل Managed Identity مع تقييد الوصول للشبكة الفرعية.
4. تفعيل WAF متقدم: أصدرت Cloudflare قواعد WAF مخصصة لهذه الثغرات. فعّلها فوراً كطبقة حماية إضافية أثناء عملية التحديث.
5. فحص السجلات: راجع سجلات الوصول بحثاً عن طلبات تحتوي أنماط .rsc أو segment-prefetch أو طلبات WebSocket upgrade غير اعتيادية قد تشير لمحاولات استغلال سابقة.
6. اختبار اختراق تطبيقي: أجرِ اختبار اختراق مركّز على تطبيقات الويب WAPT يستهدف تحديداً سيناريوهات تجاوز المصادقة وSSRF في تطبيقات Next.js.

الخلاصة

ثلاث عشرة ثغرة في إطار عمل واحد تُذكّرنا بأن أمن التطبيقات Application Security ليس رفاهية بل ركيزة أساسية في استراتيجية الدفاع السيبراني. المؤسسات المالية التي تعتمد على Next.js — سواء في بوابات العملاء أو لوحات التحكم الداخلية أو واجهات API — تحتاج لتحديث فوري ومراجعة شاملة لمعمارية المصادقة. التأخر في التحديث لا يعني فقط التعرض للاختراق، بل يعني أيضاً مخالفة تنظيمية قد تكلف المؤسسة أكثر من الهجمة نفسها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار اختراق تطبيقي شامل لتطبيقات الويب.