12月4日,热门JavaScript框架React发布最新安全公告,披露React Server Components中存在一处严重的远程代码执行漏洞,该漏洞因缺乏有效身份验证机制而导致。官方建议开发者立即采取措施升级至修复版本。
11月29日,安全研究员Lachlan Davidson报告了React中的一项安全缺陷,攻击者可通过构造恶意负载并发送至React Server Function端点的方式,在未经身份验证的情况下实现远程代码执行。
React团队特别强调,即使你的应用当前并未实现任何具体的React Server Function端点,只要应用支持React Server Components,仍存在被该漏洞攻击的风险。

该漏洞被登记为CVE-2025-55182,并获得CVSS 10.0的最高风险评分。React Server Functions允许客户端调用服务器端函数,React会将客户端请求转换为HTTP请求并转发至服务器。在服务器端,React将HTTP请求转换为函数调用,并将所需数据返回给客户端。未通过身份验证的攻击者可构造恶意HTTP请求,向任何Server Function端点发送精心设计的载荷,当React对此请求进行反序列化时,便在服务器上实现了远程代码执行。
根据公告披露,该漏洞影响React以下版本:19.0、19.1.0、19.1.1和19.2.0。最新发布的19.0.1、19.1.2和19.2.1版本已包含修复补丁,强烈建议用户立即升级至已修复的安全版本。
需要说明的是,如果你的React应用完全不使用服务器环境,或者未使用支持React Server Components的框架、打包工具及相关插件,则该应用不受此漏洞影响。
值得注意的是,部分React框架和打包工具因依赖关系可能包含存在漏洞的React包。受影响的React框架和打包工具包括:next、react-router、waku、@parcel / rsc、@vitejs / plugin-rsc和rwsdk。
