FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

React Server Components（RSC）组件中被披露存在一个最高严重级别的安全漏洞，攻击者成功利用该漏洞可实现远程代码执行。该漏洞编号为（CVE-2025-55182），CVSS评分为10.0分。

React团队在今日发布的警报中表示："该漏洞允许攻击者通过利用React解码发送至React Server Function端点的有效载荷时的缺陷，实现未经认证的远程代码执行。即使应用程序未实现任何React Server Function端点，只要支持React Server Components，仍可能受到攻击。"

云安全公司Wiz指出，该问题源于以不安全方式处理RSC有效载荷导致的逻辑反序列化漏洞。攻击者可构造恶意HTTP请求发送至任意Server Function端点，当React反序列化该请求时，即可在服务器上执行任意JavaScript代码。

受影响版本与修复方案

该漏洞影响以下npm包的19.0、19.1.0、19.1.1和19.2.0版本：

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

漏洞已在19.0.1、19.1.2和19.2.1版本中修复。新西兰安全研究员Lachlan Davidson因在2025年11月29日发现并报告该漏洞获得致谢。

Next.js及其他框架受影响情况

值得注意的是，该漏洞同样影响使用App Router的Next.js框架，漏洞编号为（CVE-2025-66478）（CVSS评分：10.0）。受影响版本包括>=14.3.0-canary.77、>=15和>=16。已修复版本为16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9和15.0.5。

任何捆绑RSC的库都可能受此漏洞影响，包括但不限于Vite RSC插件、Parcel RSC插件、React Router RSC预览版、RedwoodJS和Waku。

漏洞影响范围与修复建议

Wiz公司表示，39%的云环境存在受（CVE-2025-55182）和/或（CVE-2025-66478）影响的实例。鉴于漏洞的严重性，建议用户尽快应用修复补丁以获得最佳防护。

参考来源：

Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）