【安全圈】React Server Components 远程代码执行漏洞

关键词

漏洞

漏洞核心摘要

• 漏洞名称：React Server Components 远程代码执行漏洞

• CVE编号：CVE-2025-55182（CVE-2025-66478 被认定为重复编号）

• 威胁等级：严重（CVSS 10.0）- 最高风险级别

• 现状：漏洞细节与利用代码（PoC）已公开，并观测到大规模在野利用

• 核心问题：React在解码发往Server Function端点的负载时存在缺陷，允许未经身份验证的攻击者通过构造恶意请求，在服务器上执行任意代码。

• React 19.0.0

• React 19.1.0, 19.1.1

• React 19.2.0

• Next.js(v15.0.0 - v16.0.6 以及部分 Canary 版本)

• React Router(使用不稳定RSC API时)

• Waku

• @parcel/rsc, @vitejs/plugin-rsc, rwsdk等相关RSC适配器

• Dify、NextChat等基于受影响框架构建的通用产品。

官方已发布修复版本，请根据您的项目依赖升级至以下安全版本：

受影响版本线

修复版本

升级命令示例

React 19.0.x

19.0.1

npm install react@19.0.1 react-dom@19.0.1

React 19.1.x

19.1.2

npm install react@19.1.2 react-dom@19.1.2

React 19.2.x

19.2.1

npm install react@latest react-dom@latest

对于框架用户，请同步升级框架本身：

• Next.js用户：升级至 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 或 16.0.7 等对应分支的最新补丁版本。

• 其他框架：请参照上文“漏洞信息”部分或官方文档升级相应包。

运行以下命令检查项目中是否使用了存在漏洞的包及其版本：

bash

复制

npm list react react-dom react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel next

检查输出中的版本号是否落在“受影响版本”范围内。

3. 临时缓解（如果无法立即升级）

• 评估禁用可能性：如果业务允许，可考虑临时禁用React Server Components功能。

• 网络层防护：在Web应用防火墙（WAF）中部署针对异常RSC请求的防护规则。

• 注意：这些只是临时措施，彻底修复的唯一方法是升级版本。

CVE-2025-55182是一个影响广泛且极易被利用的严重漏洞。鉴于利用代码已公开且正在被大规模扫描攻击，强烈建议所有使用React及相关框架的团队立即采取行动，优先检查和升级受影响系统。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！