React与Next.js的RSC漏洞：未认证远程代码执行风险解析

时间：2025-12-05 13:45

云安全公司Wiz指出，该问题源于以不安全方式处理RSC有效载荷导致的逻辑反序列化漏洞。 React Server Components（RSC）组件中被披露存在一个最高严重级别的安全漏洞，攻击者成功

云安全公司Wiz近日披露，React Server Components（RSC）在处理有效载荷时存在不安全的逻辑反序列化漏洞，这一设计缺陷导致攻击者可利用其实现远程代码执行。

React服务端组件中发现一个被标记为最高严重级别的安全漏洞，成功利用该漏洞的攻击者能够在服务器端执行任意代码。该漏洞编号为CVE-2025-55182，CVSS评分为10.0分。

React团队在最新发布的警报中说明："该漏洞允许攻击者通过利用React解码发送至React服务端函数端点的有效载荷时的缺陷，实现未经认证的远程代码执行。即使应用程序未实现任何服务端函数端点，只要支持React服务端组件，仍有可能遭受攻击。"

安全研究人员指出，该问题源于以不安全方式处理RSC有效载荷导致的逻辑反序列化漏洞。攻击者可构造恶意HTTP请求发送至任意服务端函数端点，当React反序列化该请求时，即可在服务器上执行任意JavaScript代码。

受影响版本与修复方案

该漏洞影响以下npm包的19.0、19.1.0、19.1.1和19.2.0版本：

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

漏洞已在19.0.1、19.1.2和19.2.1版本中修复。新西兰安全研究员Lachlan Davidson因在2025年11月29日发现并报告该漏洞获得致谢。

Next.js及其他框架受影响情况

值得注意的是，该漏洞同样影响使用App Router的Next.js框架，漏洞编号为CVE-2025-66478（CVSS评分：10.0）。受影响版本包括≥14.3.0-canary.77、≥15和≥16。已修复版本为16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9和15.0.5。

任何集成RSC的库都可能受此漏洞影响，包括但不限于Vite RSC插件、Parcel RSC插件、React Router RSC预览版、RedwoodJS和Waku框架。