风险极高! React服务器组件披露 10 分漏洞
- 浏览次数 267
- 喜欢 0
HackerNews 编译,转载请注明出处:
React服务器组件(RSC)中披露了一个最高严重级别的安全漏洞,如果被成功利用,可能导致远程代码执行。该漏洞编号为CVE-2025-55182,CVSS 评分为 10.0(最高级别)。
3日,React团队发布警报:“该漏洞通过利用React解码发送到服务器函数端点的负载时的一个缺陷,允许未经身份验证的远程代码执行”,同时强调“即使您的应用程序没有实现任何React服务器函数端点,只要支持React服务器组件,就可能存在攻击风险。”
云安全公司Wiz分析称,此问题源于以不安全的方式处理RSC负载导致的逻辑反序列化漏洞。
未授权攻击者可构造恶意HTTP请求发送至任意服务器函数端点,当React对该请求进行反序列化处理时,攻击者即可在服务器上执行任意JavaScript代码。
漏洞影响范围
1.React相关npm包
受影响版本:19.0、19.1.0、19.1.1、19.2.0(涉及以下npm包):
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
已修复版本:19.0.1、19.1.2、19.2.1。
2.Next.js(使用 App Router)
对应漏洞编号:CVE-2025-66478(CVSS 评分:10.0)
受影响版本:
>=14.3.0-canary.77、>=15、>=16
已修复版本:16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9、15.0.5
3.其他关联工具
所有集成RSC的库均可能受影响,包括但不限于:
Vite RSC插件
Parcel RSC插件
React Router RSC预览版
RedwoodJS、Waku
Wiz 数据显示,39%的云环境存在受CVE-2025-55182和 /或CVE-2025-66478影响的实例。鉴于该漏洞的严重级别,建议用户尽快应用修复补丁,以确保系统安全。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文