#安全资讯 React 和 Next.js 出现高危安全漏洞，只需要构造特定 HTTP 请求即可无需验证发起远程代码执行，Cloudflare 已经部署防护规则集自动进行保护。目前补丁版本已经发布，如果开发者暂时无法修复，也可以将服务托管在 Cloudflare，后者已经部署规则集可以自动检测此类攻击并进行拦截 (免费用户也可自动启用)。查看全文：https://ourl.co/111268

谷歌旗下网络安全公司 Wiz 日前发布报告透露 React 和 Next.js 中存在的高危安全漏洞，该漏洞属于未经身份验证的远程代码执行漏洞，只需要构建特殊的 HTTP 请求即可触发漏洞，并且成功率接近 100%。

漏洞编号分别是 React CVE-2025-55182 和 Next.js CVE-2025-66478，漏洞位于 React 服务器组件 Flight 协议中，由于默认配置就存在该漏洞，使用 Next.js 创建并构建的应用程序都可能会被利用。

本质上这仍然属于反序列化问题，漏洞源于 React 服务器组件有效荷载处理中的不安全的反序列化，这让攻击者能够利用控制的数据影响服务器端的执行，进而造成更加严重的危害。

目前 React 和 Next.js 发布的加固版本已经发布，加固版本可以防御此类攻击，由于漏洞处在发现初期，因此 Wiz 暂时不公布详细的漏洞细节，避免有攻击者利用漏洞细节找出攻击方法。(Sources：Wiz)

易受攻击的产品及补丁版本：

react-server-dom*：19.0.0、19.1.0、19.1.1、19.2.0 补丁版本：19.0.1、19.1.2、19.2.1

Next.js：14.3.0-canary、15.x 和 16.x 补丁版本：14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7

任何捆绑了 react-server 实现的框架和库都可能受影响，包括但不限于以下框架或库：

• Next.js
• Vite RSC plugin
• Parcel RSC plugin
• React Router RSC preview
• RedwoodSDK
• Waku

Cloudflare 自动部署规则集：

如果你的网站或应用程序使用 Cloudflare WAF 则可以自动免疫攻击，Cloudflare 目前已经在规则集里部署针对该漏洞的防御手段，即如果有攻击者尝试通过构造 HTTP 请求的方式展开攻击，Cloudflare WAF 会在检测到请求后直接拦截。

自动免疫包含 Cloudflare 免费用户和付费用户，前提是流量必须经过 Cloudflare 代理 (开启橙色小云朵)，基于安全考虑，开发者仍然应当升级到补丁版本避免潜在攻击。

注意：免费版用户自动使用上述规则集，付费用户需要确保已经启用托管规则 (规则集已经放在这个托管规则里)。(Sources：Cloudflare)