漏洞预警 | React/Next.js组件存在RCE漏洞(CVE-2025-58360)
React 和 Next.js 存在严重远程代码执行 (RCE) 漏洞(CVE-2025-55182),影响多个版本。攻击者可通过 HTTP 请求在服务器上执行任意代码。官方已发布修复补丁,建议升级或采取临时缓解措施如 WAF 拦截和 IP 白名单。 2025-12-4 08:57:8 Author: www.4hou.com(查看原文) 阅读量:5 收藏

盛邦安全 漏洞 刚刚发布

1093

收藏

导语:近日,React 核心团队确认了一个存在于 React Server Components (RSC) 实现中的严重远程代码执行 (RCE) 漏洞。

一、漏洞概述

漏洞类型

远程代码执行

漏洞等级

漏洞编号

CVE-2025-55182

漏洞评分

10.0

利用复杂度

影响版本

React/Next.js多个版本

利用方式

远程

POC/EXP

已公开

    
    近日,React 核心团队确认了一个存在于 React Server Components (RSC) 实现中的严重远程代码执行 (RCE) 漏洞。该漏洞被分配了 CVE-2025-55182(Next.js 对应编号 CVE-2025- 66478),攻击者无需任何身份验证,仅通过一个 HTTP 请求,即可在你的服务器上执行任意代码。
    React是一个用于构建用户界面的JavaScript库,广泛用于开发单页应用程序和移动应用程序。
    据描述,受影响版本的React 服务器组件实现的应用程序可能会以允许攻击者执行远程代码的方式处理不受信任的输入,在特定条件下,精心构造的请求可能导致远程代码执行。

漏洞影响的产品和版本:

React Server 19.0.0
React Server 19.0.1
React Server 19.1.*
React Server 19.2.0
Next.js v15.0.0 - v15.0.4
Next.js v15.1.0 - v15.1.8
Next.js v15.2.x -v15.5.6
Next.js v16.0.0 - v16.0.6
Next.js v14.3.0-canary.77及以上Canary 版本

二、漏洞复现

QQ20251204-133853.png

三、资产测绘

据daydaymap数据显示互联网存在8,209,309个资产,国内风险资产分布情况如下。

QQ20251204-133927.png

四、解决方案

▪ 临时缓解方案

1.在 WAF 中拦截异常 RSC 请求
2.对 RSC 端点实施IP 白名单或速率限制

▪ 升级修复

目前官方已发布修复安全补丁
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-component

五、参考链接

https://github.com/ejpir/CVE-2025-55182-poc

https://www.ddpoc.com/DVB-2025-10412.html


原文链接

如若转载,请注明原文地址

  • 分享至
  •

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/mkrE
如有侵权请联系:admin#unsafe.sh