这次安全漏洞堪称React生态近年来最严重的一次。它影响范围广泛、触发条件简单，属于“只要部署就可能中招”的级别。若您的线上项目运行在React 19或Next.js App Router上，请尽快完成版本升级。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

12月3日，React官方发布了一份罕见的紧急安全公告：React Server Components（RSC）存在一个最高级别（CVSS 10.0）的安全漏洞。Next.js团队随后发文确认同样受到影响。

如果您正在使用React 19 + RSC，或是基于Next.js的App Router开发，请立即检查项目版本。

漏洞原理是什么？

RSC在处理服务端请求时，需要将客户端发送的数据进行反序列化。问题就出在这里——类型验证不够严格，导致攻击者可以伪造“恶意RSC请求”，诱骗服务器执行危险代码。

具体表现为：

• 无需用户登录

• 无需任何权限

• 只要能访问到您的服务接口

• 就可能直接运行服务器端代码

正因如此，这个漏洞才会被评为满分10分的严重级别。

哪些版本受影响？

React相关包：

• react-server-dom-webpack/ parcel / turbopack（19.0 ~ 19.2的部分版本）

Next.js方面：

• 所有基于App Router + RSC的版本几乎都受影响

• 包括大多数15.x、16.x稳定版

• 以及14.3.0-canary.77之后的部分测试版

如果您的项目仍在使用pages router，或者未启用RSC功能，本次风险相对较小。

为何后果如此严重？

RSC引入了一套全新的序列化协议，而这次的漏洞让攻击者能够伪造协议消息。只要您的应用在线暴露了相关接口，风险就是“默认存在”的。更糟糕的是，很多团队可能根本没有意识到自己已经启用了RSC。

如何解决？升级是唯一修复方案

React和Next.js均已发布修复版本。

React用户请执行：

npm install react-server-dom-webpack@latest

Next.js用户需升级至：

• 15.x → 升级到最新补丁（如15.0.5、15.1.9等）

• 16.x → 升级到16.0.7

• 使用14.3-canary的，建议回退至稳定版14.x

官方明确表示：没有任何配置可以临时规避漏洞，只能通过升级解决。

快速自检清单

1. 您的项目是否在使用Next.js App Router？

2. 依赖包是否包含12月3日前安装的React 19？

3. lock文件中是否出现受影响版本的react-server-dom-*？

4. CI流程是否会使用旧缓存重新部署？

5. 服务是否直接暴露在公网？

若以上问题有两项符合，就需要立即安排升级。

最后提醒

这是React生态系统近年来遭遇的最严重安全事件。影响范围之大、触发条件之简单，属于“部署即存在风险”的级别。如果您的线上项目基于React 19或Next.js App Router，请尽快完成升级。

安全问题不容拖延，这次尤为如此。

相关攻略

AI

OpenClaw登顶GitHub榜首，超越Linux成历史首例

新智元报道编辑：艾伦【新智元导读】仅用两月，本地AI框架OpenClaw击败Linux，登顶GitHub星标榜！本文回顾了OpenClaw爆火之路，及其背后反映的开源社区趋势变化。就在昨天下午，Op

热心网友

03.03

科技数码

华为加入React基金会，推动鸿蒙与React生态融合

IT之家 3 月 1 日消息，React 项目组迎来发展历程中重要里程碑 —— React 基金会在 Linux 基金会的托管下正式成立。八家创始成员包括亚马逊、Callstack、Expo、华为、

热心网友

03.01

科技数码

华为微软亚马逊等8家创始成员推动React进入基金会时代

IT之家 2 月 28 日消息，2 月 24 日，React 项目组宣布迎来了其发展历程中的一个重要里程碑 ——React 基金会（React Foundation）在 Linux 基金会（Linu

热心网友

02.28

手机教程

安全公司揭露：黑客盗用开发团队NPM账号散布恶意软件包

6 月 10 日消息，近年来黑客入侵开发团队账号并冒用他们身份散布恶意软件包的事件屡见不鲜，参考安全公司Aikido Security通报，有黑客在 6月6日盗用 React Native、Glu

热心网友

12.28

科技数码

紧急修复：React团队连夜处理灾难性Bug

React团队今天凌晨紧急发布了一个最高危漏洞。如果你项目里使用了React的“服务器组件”（RSC）功能，攻击者可以直接利用这个漏洞，在你的服务器上执行任意代码。 React团队今天凌晨紧急发布了

热心网友

12.16

热门推荐

电脑教程

iOS 7状态栏美化指南：4步打造个性界面

如何利用WinterBoard为iOS7状态栏及iPhone整体界面进行个性化美化？1、 打开Cydia应用，在顶部搜索框中输入“WinterBoard”，找到对应插件后点击安装并

热心网友

03.29

手机教程

抖音视频封面无法更换？3步教你解决替换问题

在使用抖音时，有时会遇到视频封面无法更换的情况，这确实会让人有些困扰。不过别着急，以下为您提供一些可能的解决办法。首先，检查网络连接是否正常。不稳定的网络可能导致操作无法及时响应，

热心网友

03.29

编程语言

第二代刀片电池上车：腾势D9预售38.98万起，快充仅9分钟

3月29日消息，今日上午，第二代腾势D9开启预售，共推出纯电、插混两种动力六款车型，预售价区间为38 98万-48 98万元。新车将于4月正式到店，预售期内下订可享受18个月免费闪充权益。新车纯电版

热心网友

03.29

游戏攻略

DNF次元对决：奥术神袍强度解析与实战测评

DNF次元对决模式已经上线，这是一个DNF的吃鸡游戏，游戏中玩家可以获得全新的装备，比如终极圣光奥术神袍，那么DNF次元对决终极圣光奥术神袍好用吗？下面就给大家带来DNF次元对决终

热心网友

03.29

娱乐

阮喻许淮颂久别重逢：双向暗恋终成圆满欢喜

谁说暗恋只能是无声的独角戏呢？若暗恋被加上了双向的箭头，那不就成了两个人的兵荒马乱了吗？青春岁月里，一场无疾而终的怦然心动，成为了许淮颂与阮喻深埋心底的秘密。遗憾错过的他们，一个将暗恋写进小说里，一

热心网友

03.29