Next.js rocked by critical 9.1 level exploit...

Fireship

24 Mar 202503:49

Summary

TLDRفي هذا الفيديو، يتحدث عن ثغرة أمنية حاسمة في إطار العمل الشهير Next.js، والتي تم اكتشافها في 24 مارس 2025. الثغرة تسمح للمهاجمين بتجاوز التوثيق والتصريح في الـ Middleware الخاص بـ Next.js، مما يعرض التطبيقات للخطر. على الرغم من أن الـ Next.js قد تم تحديثه لإصلاح هذه الثغرة، إلا أن التأخير في التصحيح كان محط انتقاد. الفيديو أيضًا يعرض نزاعًا بين شركتي Cloudflare و Vercel، ويختتم بتوصية للمستخدمين باستخدام خوادم لينكس الخاصة لاستضافة التطبيقات وتجنب مشكلات الأمان.

Takeaways

😀 تم اكتشاف ثغرة خطيرة في إطار العمل Next.js تؤثر على التوثيق والتمييز في الـ Middleware.
😀 الثغرة تسمح للمهاجمين بتخطي التحقق من الهوية والوصول إلى التطبيق دون دفع أي رسوم.
😀 الثغرة أدت إلى فرح كبير بين منتقدي Next.js وReact الذين استغلوا الفرصة لانتقاد الإطار.
😀 الشركات الكبرى مثل Cloudflare استخدمت هذا الحدث للترويج لمنتجاتها وجذب العملاء من Vercel.
😀 إذا كنت تستخدم Next.js في الإنتاج ولم تقم بتحديثه بعد، يجب عليك التحديث فورًا لتجنب المخاطر.
😀 في حال كنت لا تستخدم Middleware في Next.js أو استضافة على Vercel أو Netlify، يمكنك تجاهل هذه الثغرة.
😀 اكتشف الباحثون الأمنيون أن الثغرة تعمل عن طريق إضافة اسم Middleware في رأس طلب الـ HTTP لتجاوز التحقق.
😀 المشكلة نشأت من تسميات قابلة للتخمين للـ Middleware في Next.js، مما جعل الهجوم سهلاً.
😀 Cloudflare حاولت نشر قاعدة لحظر استخدام هذه الثغرة، لكنها اضطرت للتراجع بسبب تأثيرها على خدمات مصادقة أخرى.
😀 التأخير في إصلاح الثغرة من فريق Next.js كان غير مقبول، حيث تم الإبلاغ عنها في 27 فبراير ولم يتم إصلاحها حتى 18 مارس.
😀 هذه الثغرة سببت توترات بين مديري Cloudflare وVercel، مما أدى إلى جدال علني على وسائل التواصل الاجتماعي.

Q & A

ما هو الخلل الأمني الذي تم اكتشافه في Next.js؟
-تم اكتشاف خلل أمني في Next.js يسمح للمهاجمين بتجاوز عملية المصادقة والتفويض في الـ middleware الخاصة بـ Next.js، مما يتيح لهم الوصول إلى التطبيق دون دفع أي أموال.
كيف يعمل الخلل الأمني في Next.js؟
-الخلل يستغل رأس (header) في الـ middleware في Next.js، حيث يمكن للمهاجمين استخدام اسم الـ middleware وإضافته إلى رأس الطلب، مما يؤدي إلى تجاوز التحقق من المصادقة والتفويض.
لماذا يُعد الخلل الأمني في Next.js خطيرًا؟
-الخلل خطير لأنه يمكن أن يتيح للمهاجمين الوصول إلى تطبيقات تستخدم الـ middleware للمصادقة أو التفويض دون الحاجة إلى دفع أي أموال أو المرور بأي عملية تحقق.
هل يجب على المطورين الذين يستخدمون Next.js في الإنتاج أن يقلقوا؟
-نعم، إذا كنت تستخدم Next.js في الإنتاج ولم تقم بتحديثه إلى الإصدار الذي تم إصلاحه، فإن تطبيقك قد يكون في خطر كبير. من الضروري التحديث بأسرع وقت ممكن.
هل هناك أي ضرر جانبي من الخلل الأمني؟
-نعم، كان هناك بعض الضرر الجانبي مثل أن Cloudflare حاولت نشر قاعدة لحظر استخدام هذا الرأس من قبل جهات خارجية، لكن اضطرت لاحقًا لجعل هذه القاعدة اختيارية بسبب حدوث مشاكل مع بعض مزودي المصادقة الخارجية مثل Superbase.
ما هو سبب غضب الكثيرين من خطأ Next.js؟
-الغضب جاء من التأخير الكبير في إصلاح الخطأ؛ فقد تم الإبلاغ عنه في 27 فبراير لكن لم يتم إصلاحه حتى 18 مارس، وهو تأخير طويل جدًا بالنسبة لمشكلة خطيرة يمكن إصلاحها بسهولة.
كيف استغل Cloudflare هذا الخطأ في تسويق منتجاتهم؟
-استخدمت Cloudflare هذه الفرصة للترويج لأداتهم الجديدة التي تتيح للمطورين نشر تطبيقات Next.js على Cloudflare بدلاً من Vercel، مع التأكيد أنهم يهتمون بأمان المستخدمين أكثر من Vercel.
كيف ردت Vercel على هجوم Cloudflare؟
-ردت Vercel بانتقاد Cloudflare بسبب مشاركتها في حادثة Cloudbleed الشهيرة، كما أشارت إلى أن حماية DDoS الخاصة بـ Cloudflare غير موثوقة.
هل هناك أية حلول بديلة للمطورين الذين يواجهون مشاكل في الأمان؟
-نعم، يمكن للمطورين استخدام خوادم Linux خالية من النزاعات، مثل تلك التي تقدمها Hostinger، حيث يمكنهم استضافة تطبيقات Next.js على خوادم خاصة مع توفر أسعار ثابتة وخدمة استضافة مُدارة.
هل يُنصح باستخدام Hostinger كحل بديل؟
-نعم، إذا كنت تبحث عن استقلالية وأداء عالٍ مع تجربة تطوير جيدة، فإن استخدام Hostinger كحل بديل يعد خيارًا ممتازًا. يقدمون خوادم خاصة مقابل أقل من 10 دولارات شهريًا.