React Server Components 曝出严重远程代码执行漏洞
React 团队于当地时间 12 月 3 日发布安全公告,确认 React Server Components (RSC) 协议中存在一个严重的远程代码执行漏洞(CVE-2025-55182),CVSS 评分高达 10.0。该漏洞由 Lachlan Davidson 发现并报告,涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 的 19.0.0 至 19.2.0 版本。攻击者可通过向 Server Function 端点发送恶意构造的 HTTP 请求,利用反序列化过程中的缺陷在服务器上执行任意代码,且无需经过身份验证。即使应用未直接实现 Server Function 端点,只要支持 RSC 均可能受影响。目前 React 团队已发布 19.0.1、19.1.2 和 19.2.1 版本予以修复。
受此上游漏洞影响,Next.js 同步发布了安全公告(CVE-2025-66478)。所有使用 App Router 的 Next.js 15.x 和 16.x 版本,以及 14.3.0-canary.77 之后的测试版本均受到波及。Next.js 13.x、14.x 稳定版及 Pages Router 模式不受影响。Vercel 已发布 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 等修复版本,建议用户立即更新;使用受影响 canary 版本的用户应降级至 14.x 稳定版。此外,React Router、Waku、RedwoodJS 等生态框架也已发布相应修复指南。
(React Blog、Next.js Blog)
React 团队于当地时间 12 月 3 日发布安全公告,确认 React Server Components (RSC) 协议中存在一个严重的远程代码执行漏洞(CVE-2025-55182),CVSS 评分高达 10.0。该漏洞由 Lachlan Davidson 发现并报告,涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 的 19.0.0 至 19.2.0 版本。攻击者可通过向 Server Function 端点发送恶意构造的 HTTP 请求,利用反序列化过程中的缺陷在服务器上执行任意代码,且无需经过身份验证。即使应用未直接实现 Server Function 端点,只要支持 RSC 均可能受影响。目前 React 团队已发布 19.0.1、19.1.2 和 19.2.1 版本予以修复。
受此上游漏洞影响,Next.js 同步发布了安全公告(CVE-2025-66478)。所有使用 App Router 的 Next.js 15.x 和 16.x 版本,以及 14.3.0-canary.77 之后的测试版本均受到波及。Next.js 13.x、14.x 稳定版及 Pages Router 模式不受影响。Vercel 已发布 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 等修复版本,建议用户立即更新;使用受影响 canary 版本的用户应降级至 14.x 稳定版。此外,React Router、Waku、RedwoodJS 等生态框架也已发布相应修复指南。
(React Blog、Next.js Blog)
