官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2025年12月4日
React 团队在发现影响现代 React 生态系统的灾难性漏洞后发布了紧急安全公告。该漏洞被评定为最高严重等级,允许未经认证的攻击者在运行 React 服务端组件(RSC)的服务器上执行任意代码。
该漏洞由安全研究员 Lachlan Davidson 发现,针对客户端与服务端之间的通信层。该漏洞被分配编号 CVE-2025-55182,CVSS 评分为 10.0 分——该评分仅用于最严重的安全漏洞,即那些易于利用、无需认证且可导致系统完全沦陷的漏洞。
威胁范围尤其令人担忧,因为它超出了主动使用场景。开发者可能认为只要没有主动使用服务端函数就是安全的,但 React 团队警告称:"即使您的应用没有实现任何 React 服务端函数端点,只要支持 React 服务端组件,就可能仍然存在风险。"
漏洞原理:反序列化过程缺陷
漏洞存在于反序列化过程中——即 React 如何将客户端发送的数据转换回服务端可执行操作。在正常操作下,React 将客户端请求转换为 HTTP 请求,服务端再将其转换为函数调用。但该解码过程中的缺陷为恶意注入打开了大门。
"未经认证的攻击者可向任何服务端函数端点构造恶意 HTTP 请求,当被 React 反序列化时,即可实现服务端远程代码执行。"这使得攻击者能绕过安全控制,直接在主机服务器上运行命令。
影响范围:核心包与主流框架
问题根源在于特定底层包:react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。受影响版本涵盖 19.0 至 19.2.0。由于这些包是基础组件,漏洞会级联影响主要框架和打包工具。公告指出:"以下 React 框架和打包工具受到影响:next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。"
修复方案:立即升级
React 团队和框架维护者已发布补丁,必须立即升级以确保应用安全:
-
React 核心包:19.0.1、19.1.2 和 19.2.1 版本已修复
-
Next.js 用户:必须立即升级到对应发布线的最新修补版本:
- v15.0.x → 安装 [email protected]
- v15.1.x → 安装 [email protected]
- v16.0.x → 安装 [email protected]
- 注意:Next.js 14.3.0-canary.77 或更高版本用户应降级至 next@14
-
React Router 及其他框架:在 React Router、Waku 或 Redwood SDK 中使用不稳定 RSC API 的用户,应立即通过 npm install 将 react、react-dom 及其特定 server-dom 包(webpack/parcel)更新至最新版本。
参考来源:
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)