这一漏洞获得了CVSS最高评级(10.0分),攻击者无需身份验证、无需登录、无需任何用户交互。只需构造一个精心设计的POST请求,就能直接在服务器上执行任意代码。
今日曝出的这个严重漏洞,已在安全圈引发广泛关注。
该漏洞因达到CVSS最高危险等级(10.0分)而备受关注,攻击者既不需要通过认证,也无需登录账号,更不必与系统进行交互。攻击者只需发送一个精心构造的POST请求,即可在目标服务器上直接运行任意代码。
漏洞源头来自React Server Components(RSC),目前最新情况已得到确认。

React Server Components是React团队推出的新一代服务端渲染方案,其核心目标是在保障客户端交互体验的前提下,最大化利用服务端能力,包括直接访问数据库、避免敏感数据暴露,同时优化应用性能、体积和加载速度。目前已被Next.js等主流框架采纳,广泛应用于电商平台、新闻资讯、内容社区等场景。
以下是RSC的典型应用场景:
内容型/数据密集型场景,如电商详情页、后台管理系统、资讯门户、文档平台、数据仪表盘等;需保护敏感逻辑/数据的场景,如支付页面、用户隐私数据展示、后台权限校验、涉及密钥/算法的业务逻辑;大型交互型应用场景,如社交平台(朋友圈互动与点赞评论);低性能设备/弱网环境适配场景,如移动端H5页面、物联网设备端界面。
漏洞危害:
攻击者无需通过身份验证,无需登录系统,也无需进行任何交互操作,仅需向公开的服务端点发送一个精心构造的POST请求,即可直接在服务器上执行任意代码。
可能导致:
服务器完全沦陷(获取反向Shell访问权限)、数据库凭据泄露、环境变量暴露、密钥全部泄漏、内网横向移动、进一步攻击其他系统、数据被加密勒索或直接删除、业务长时间中断、声誉严重受损。
漏洞原理:
React Server Components(RSC)在反序列化客户端提交的"Flight"协议数据时存在不安全反序列化缺陷,导致攻击者可注入并执行任意JavaScript代码。
根据漏洞原理,以下情况不受影响:
仅使用纯前端页面渲染、前后端分离架构未启用React Server Components(RSC)功能。
受影响范围
解决方案:
官方已发布安全补丁,请及时更新至最新版本:
# React 项目
npm update react react-dom react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack
# Next.js 项目(推荐直接升级到最新稳定版)
npm update next@latest
# 或手动指定安全版本,例如:
npm install next@16.0.7
# 或 15.5.7 等
最新升级方法:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
漏洞验证POC:
https://github.com/ejpir/CVE-2025-55182-poc
建议立即开展自查,并及时进行修复!
