React高危漏洞CVE-2025-55182预警：Next.js服务端组件面临远程代码执行风险

首页

科技数码

热心网友

转载

2025-12-05

React 核心团队发出警示："即便您的应用程序尚未实现任何 React 服务端函数端点，只要支持 React 服务端组件功能，就依然存在安全隐患。"

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

12月4日，React 团队在发现影响现代 React 生态系统的严重安全漏洞后，紧急发布了安全公告。该漏洞被评定为最高风险级别，可导致未经授权的攻击者在运行 React 服务端组件的服务器上执行任意代码。

该漏洞由安全研究员 Lachlan Davidson 发现，存在于客户端与服务端之间的通信层面。该漏洞被分配编号 CVE-2025-55182，CVSS 评分高达 10.0 分——这一评分仅适用于最危险的安全缺陷，即那些易于利用、无需认证且可导致系统完全沦陷的漏洞。

该漏洞的威胁范围尤其令人担忧，因为它超出了常规使用场景。开发者可能认为只要没有主动使用服务端函数就是安全的，但 React 团队明确指出："即便您的应用没有实现任何 React 服务端函数端点，只要支持 React 服务端组件，就可能面临风险。"

漏洞原理：反序列化过程缺陷

漏洞存在于反序列化过程中——即 React 如何将客户端发送的数据转换回服务端可执行操作。正常流程下，React 会将客户端请求转换为 HTTP 请求，服务端再将其解析为函数调用。但这个解码过程中存在的缺陷为恶意代码注入打开了方便之门。

"未经授权的攻击者可以向任何服务端函数端点构造恶意 HTTP 请求，当被 React 反序列化时，即可实现服务端远程代码执行。"这使得攻击者能够绕过安全控制，直接在主机服务器上运行命令。

影响范围：核心包与主流框架

问题根源在于特定底层包：react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。受影响版本涵盖 19.0 至 19.2.0。由于这些包是基础组件，漏洞会级联影响主要框架和打包工具。公告指出："以下 React 框架和打包工具受到影响：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。"

修复方案：立即升级

React 团队和框架维护者已发布补丁，必须立即升级以确保应用安全：

(1) React 核心包：19.0.1、19.1.2 和 19.2.1 版本已修复

(2) Next.js 用户：必须立即升级到对应发布线的最新修补版本：

v15.0.x → 安装 next@15.0.5v15.1.x → 安装 next@15.1.9v16.0.x → 安装 next@16.0.7

注意：Next.js 14.3.0-canary.77 或更高版本的用户应降级至 next@14

(3) React Router 及其他框架：在 React Router、Waku 或 Redwood SDK 中使用不稳定 RSC API 的用户，应立即通过 npm install 将 react、react-dom 及其特定 server-dom 包（webpack/parcel）更新至最新版本。

来源:https://www.51cto.com/article/831239.html

免责声明：游乐网为非赢利性网站，所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系youleyoucom@outlook.com。

上一篇：全新终端物种开箱实测：安装即用的部署体验！下一篇：React与Next.js高危漏洞警示：立即排查这5个安全风险