江蘇
關鍵詞
漏洞
漏洞核心摘要
漏洞名稱:React Server Components 遠程代碼執行漏洞
CVE編號:CVE-2025-55182(CVE-2025-66478 被認定為重復編號)
威脅等級:嚴重(CVSS 10.0)- 最高風險級別
現狀:漏洞細節與利用代碼(PoC)已公開,并觀測到大規模在野利用
核心問題:React在解碼發往Server Function端點的負載時存在缺陷,允許未經身份驗證的攻擊者通過構造惡意請求,在服務器上執行任意代碼。
React 19.0.0
React 19.1.0, 19.1.1
React 19.2.0
Next.js(v15.0.0 - v16.0.6 以及部分 Canary 版本)
React Router(使用不穩定RSC API時)
Waku
@parcel/rsc, @vitejs/plugin-rsc, rwsdk等相關RSC適配器
Dify、NextChat等基于受影響框架構建的通用產品。
官方已發布修復版本,請根據您的項目依賴升級至以下安全版本:
受影響版本線
修復版本
升級命令示例
React 19.0.x
19.0.1
npm install react@19.0.1 react-dom@19.0.1
React 19.1.x
19.1.2
npm install react@19.1.2 react-dom@19.1.2
React 19.2.x
19.2.1
npm install react@latest react-dom@latest
對于框架用戶,請同步升級框架本身:
Next.js用戶:升級至 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 或 16.0.7 等對應分支的最新補丁版本。
其他框架:請參照上文“漏洞信息”部分或官方文檔升級相應包。
運行以下命令檢查項目中是否使用了存在漏洞的包及其版本:
bash
復制
npm list react react-dom react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel next檢查輸出中的版本號是否落在“受影響版本”范圍內。
3. 臨時緩解(如果無法立即升級)
評估禁用可能性:如果業務允許,可考慮臨時禁用React Server Components功能。
網絡層防護:在Web應用防火墻(WAF)中部署針對異常RSC請求的防護規則。
注意:這些只是臨時措施,徹底修復的唯一方法是升級版本。
CVE-2025-55182是一個影響廣泛且極易被利用的嚴重漏洞。鑒于利用代碼已公開且正在被大規模掃描攻擊,強烈建議所有使用React及相關框架的團隊立即采取行動,優先檢查和升級受影響系統。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
