关键词
漏洞
漏洞核心摘要
漏洞名称:React Server Components 远程代码执行漏洞
CVE编号:CVE-2025-55182(CVE-2025-66478 被认定为重复编号)
威胁等级:严重(CVSS 10.0)- 最高风险级别
现状:漏洞细节与利用代码(PoC)已公开,并观测到大规模在野利用
核心问题:React在解码发往Server Function端点的负载时存在缺陷,允许未经身份验证的攻击者通过构造恶意请求,在服务器上执行任意代码。
React 19.0.0
React 19.1.0, 19.1.1
React 19.2.0
Next.js(v15.0.0 - v16.0.6 以及部分 Canary 版本)
React Router(使用不稳定RSC API时)
Waku
@parcel/rsc, @vitejs/plugin-rsc, rwsdk等相关RSC适配器
Dify、NextChat等基于受影响框架构建的通用产品。
官方已发布修复版本,请根据您的项目依赖升级至以下安全版本:
受影响版本线
修复版本
升级命令示例
React 19.0.x
19.0.1
npm install react@19.0.1 react-dom@19.0.1
React 19.1.x
19.1.2
npm install react@19.1.2 react-dom@19.1.2
React 19.2.x
19.2.1
npm install react@latest react-dom@latest
对于框架用户,请同步升级框架本身:
Next.js用户:升级至 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 或 16.0.7 等对应分支的最新补丁版本。
其他框架:请参照上文“漏洞信息”部分或官方文档升级相应包。
运行以下命令检查项目中是否使用了存在漏洞的包及其版本:
bash
复制
npm list react react-dom react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel next检查输出中的版本号是否落在“受影响版本”范围内。
3. 临时缓解(如果无法立即升级)
评估禁用可能性:如果业务允许,可考虑临时禁用React Server Components功能。
网络层防护:在Web应用防火墙(WAF)中部署针对异常RSC请求的防护规则。
注意:这些只是临时措施,彻底修复的唯一方法是升级版本。
CVE-2025-55182是一个影响广泛且极易被利用的严重漏洞。鉴于利用代码已公开且正在被大规模扫描攻击,强烈建议所有使用React及相关框架的团队立即采取行动,优先检查和升级受影响系统。

安全圈

网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.