React Server Components(RSC)组件中被披露存在一个最高严重级别的安全漏洞,攻击者成功利用该漏洞可实现远程代码执行。该漏洞编号为(CVE-2025-55182),CVSS评分为10.0分。
React团队在今日发布的警报中表示:”该漏洞允许攻击者通过利用React解码发送至React Server Function端点的有效载荷时的缺陷,实现未经认证的远程代码执行。即使应用程序未实现任何React Server Function端点,只要支持React Server Components,仍可能受到攻击。”
云安全公司Wiz指出,该问题源于以不安全方式处理RSC有效载荷导致的逻辑反序列化漏洞。攻击者可构造恶意HTTP请求发送至任意Server Function端点,当React反序列化该请求时,即可在服务器上执行任意JavaScript代码。Part01
受影响版本与修复方案
Next.js及其他框架受影响情况
漏洞影响范围与修复建议
云安全公司Wiz指出,该问题源于以不安全方式处理RSC有效载荷导致的逻辑反序列化漏洞。攻击者可构造恶意HTTP请求发送至任意Server Function端点,当React反序列化该请求时,即可在服务器上执行任意JavaScript代码。Part01
受影响版本与修复方案
该漏洞影响以下npm包的19.0、19.1.0、19.1.1和19.2.0版本:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
漏洞已在19.0.1、19.1.2和19.2.1版本中修复。新西兰安全研究员Lachlan Davidson因在2025年11月29日发现并报告该漏洞获得致谢。Part02
Next.js及其他框架受影响情况
值得注意的是,该漏洞同样影响使用App Router的Next.js框架,漏洞编号为(CVE-2025-66478)(CVSS评分:10.0)。受影响版本包括>=14.3.0-canary.77、>=15和>=16。已修复版本为16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9和15.0.5。
任何捆绑RSC的库都可能受此漏洞影响,包括但不限于Vite RSC插件、Parcel RSC插件、React Router RSC预览版、RedwoodJS和Waku。Part03
漏洞影响范围与修复建议
Wiz公司表示,39%的云环境存在受(CVE-2025-55182)和/或(CVE-2025-66478)影响的实例。鉴于漏洞的严重性,建议用户尽快应用修复补丁以获得最佳防护。
参考来源:
Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution
https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html
文章来源:FreeBuf
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容