上海
新钛云服已累计为您分享871篇技术干货
今天爆出来一个严重漏洞,安全圈已刷屏。
漏洞达到CVSS最高级别(10.0分),攻击者无需认证、无需登录、无需交互。仅需发送一个精心构造的POST请求,即可在服务器上直接执行任意代码 。
漏洞来自于React Server Components(RSC),官方已确认。
React Server Components是 React 团队推出的新一代服务端渲染方案,核心目标是在不牺牲客户端交互体验的前提下,最大化利用服务端能力,如直接访问数据库、避免敏感数据暴露,同时优化应用的性能、体积和加载速度。已经被Next.js等主流框架采用,广泛应用于电商、新闻、内容网站。
以下是RSC典型使用场景:
内容型/数据密集型场景,如电商详情页、后台管理系统、资讯门户、文档平台、数据仪表盘等;
需保护敏感逻辑/数据的场景,如支付页面、用户隐私数据展示、后台权限校验、涉及密钥/算法的业务
大型交互型应用场景,如社交平台(朋友圈 + 点赞评论)、电商购物车
低性能设备/弱网环境适配场景,如移动端 H5、物联网设备端页面
漏洞危害:
攻击者无需认证、无需登录、无需交互,仅需向公开服务器端点发送一个精心构造的POST 请求,即可在服务器上直接执行任意代码 。
可能导致:
服务器完全失陷(反向 Shell)
数据库凭证、环境变量、密钥全部泄露
内网横向移动、进一步攻击其他系统
数据被加密勒索或直接删除
业务长时间中断、声誉严重受损
漏洞原理:
React Server Components(RSC)在反序列化客户端提交的 “Flight” 协议数据时存在不安全的反序列化缺陷,导致攻击者可注入并执行任意 JavaScript 代码。
根据漏洞原理,以下情况不受影响:
只是纯前端页面
使用React Server Components(RSC)
前后端分离
受影响范围
项目受影响版本已修复版本
react-server-dom-webpack
19.0, 19.1.0, 19.1.1, 19.2.0
19.0.1, 19.1.2, 19.2.1
react-server-dom-parcel
19.0, 19.1.0, 19.1.1, 19.2.0
19.0.1, 19.1.2, 19.2.1
react-server-dom-turbopack
9.0, 19.1.0, 19.1.1, 19.2.0
19.0.1, 19.1.2, 19.2.1
Next.js(使用 App Router)
≥14.3.0-canary.77, 全部 15.x, 全部 16.x
16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5
其他捆绑 RSC 的库
Vite RSC 插件、Parcel RSC 插件、React Router RSC 预览版、RedwoodJS、Waku等
升级至各自最新版本
解决方案:
官方已发布安全补丁,请及时更新至最新版本:
# React 项目
npm update react react-dom react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack
# Next.js 项目(推荐直接升级到最新稳定版)
npm update next@latest
# 或手动指定安全版本,例如:
npm install next@16.0.7 # 或 15.5.7 等
官方升级方法:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
漏洞验证POC:
https://github.com/ejpir/CVE-2025-55182-poc
建议立刻自查,并进行修复!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
