游乐游手机版
首页/科技数码/文章详情

React与Next.js高危漏洞警示:立即排查这5个安全风险

时间:2025-12-05 13:53
这是 React 生态近年来最严重的一次安全事件。影响范围大、触发条件简单,属于“只要部署就可能中招”的级别。如果你有线上项目跑在 React 19 或 Next js App Router 上,请

这次安全漏洞堪称React生态近年来最严重的一次。它影响范围广泛、触发条件简单,属于“只要部署就可能中招”的级别。若您的线上项目运行在React 19或Next.js App Router上,请尽快完成版本升级。

12月3日,React官方发布了一份罕见的紧急安全公告:React Server Components(RSC)存在一个最高级别(CVSS 10.0)的安全漏洞。Next.js团队随后发文确认同样受到影响。

如果您正在使用React 19 + RSC,或是基于Next.js的App Router开发,请立即检查项目版本。

漏洞原理是什么?

RSC在处理服务端请求时,需要将客户端发送的数据进行反序列化。问题就出在这里——类型验证不够严格,导致攻击者可以伪造“恶意RSC请求”,诱骗服务器执行危险代码。

具体表现为:

• 无需用户登录

• 无需任何权限

• 只要能访问到您的服务接口

• 就可能直接运行服务器端代码

正因如此,这个漏洞才会被评为满分10分的严重级别。

哪些版本受影响?

React相关包:

react-server-dom-webpack/ parcel / turbopack(19.0 ~ 19.2的部分版本)

Next.js方面:

• 所有基于App Router + RSC的版本几乎都受影响

• 包括大多数15.x、16.x稳定版

• 以及14.3.0-canary.77之后的部分测试版

如果您的项目仍在使用pages router,或者未启用RSC功能,本次风险相对较小。

为何后果如此严重?

RSC引入了一套全新的序列化协议,而这次的漏洞让攻击者能够伪造协议消息。只要您的应用在线暴露了相关接口,风险就是“默认存在”的。更糟糕的是,很多团队可能根本没有意识到自己已经启用了RSC。

如何解决?升级是唯一修复方案

React和Next.js均已发布修复版本。

React用户请执行:

npm install react-server-dom-webpack@latest

Next.js用户需升级至:

• 15.x → 升级到最新补丁(如15.0.5、15.1.9等)

• 16.x → 升级到16.0.7

• 使用14.3-canary的,建议回退至稳定版14.x

官方明确表示:没有任何配置可以临时规避漏洞,只能通过升级解决。

快速自检清单

1. 您的项目是否在使用Next.js App Router?

2. 依赖包是否包含12月3日前安装的React 19?

3. lock文件中是否出现受影响版本的react-server-dom-*

4. CI流程是否会使用旧缓存重新部署?

5. 服务是否直接暴露在公网?

若以上问题有两项符合,就需要立即安排升级。

最后提醒

这是React生态系统近年来遭遇的最严重安全事件。影响范围之大、触发条件之简单,属于“部署即存在风险”的级别。如果您的线上项目基于React 19或Next.js App Router,请尽快完成升级。

安全问题不容拖延,这次尤为如此。

来源:https://www.51cto.com/article/831234.html
上一篇React高危漏洞CVE-2025-55182预警:Next.js服务端组件面临远程代码执行风险 下一篇花旗:电池供应链升势确立,布局宁德时代等防御标的
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5