Home

业界消息

关于 CVE-2025-55182 的讨论已经持续两天了。青小蛙在社区中看到 @Fiend_FEARing 同学的预警帖：《重大漏洞预警：CVE-2025-55182（CVSS 10.0）影响 React Server Components》。

当时青小蛙就震惊了，满分 CVSS 10.0 的漏洞评分极少见啊，于是就查了一下，上一次影响范围这么广的10分漏洞，还是大名鼎鼎的 Log4Shell 漏洞。

发生了什么？

React Server Components（RSC）爆出了一个 CVSS 10.0 满分漏洞，漏洞编号：CVE-2025-55182。

这是 CVE 中最高等级的漏洞（顺便参考：CVE 是什么）。

这是一个未授权远程代码执行（RCE）漏洞

• 不需要登录
• 不需要权限
• 黑客可在服务器上执行任意代码

因为 RSC 已成为现代 React / Next.js 默认机制，所以影响范围极大。这次事件也被社区戏称 React2Shell，类比当年的 Log4Shell。

RSC 是什么？

先来解释 React

React 是一个使用 JavaScript 语言来编写网页、应用、软件界面的技术框架，可以将 React 理解为乐高积木：

• 一个按钮是一块积木
• 一条评论是一块积木
• 一个商品卡片是一块积木

最后把这些组件拼起来，就能构成完整的界面。

这种积木化的模式非常高效，因此 React 十分流行。

再说 RSC（React Server Components）

RSC 做了一件重要的事：把原本需要在用户浏览器里执行的一部分 React 组件，改成在服务器上执行。

这样可以让用户更快的加载页面，并且服务器也能更快、更安全。

对谁有影响？

RSC 是 React 官方自己发布、自己推荐的下一代架构。

而更关键的是，最流行的 React 框架 Next.js，已经把 RSC 作为默认工作方式。

仍然用乐高来比喻：

• React 是基础积木
• RSC 是新玩法
• Next.js 是带说明书、带包装盒，可以直接拿去售卖的乐高套装

已经有很多知名公司的网站或产品都使用了 Next.js，比如 Netflix、Twitch、、Hulu、Binance、OpenAI、Claude、Stripe、GitHub Copilot、Notion、Nike 都在使用 Next.js，所以影响范围极广。

该怎么办？

作为像青小蛙一样的普通用户，吃瓜。就当个八卦听听好了。顺便了解一个冷知识嘛。

作为开发者，他会自己着急的 😂 （去升级啦）

已修复版本：

• react-server-dom-parcel：19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-turbopack：19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-webpack：19.0.1 / 19.1.2 / 19.2.1

Next.js 方面，以下版本已修复：

• 15 系列：15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7
• 16 系列：16.0.7

回顾：Log4Shell（CVE-2021-44228）

如果你曾经听过 Log4Shell，就是2021年的那场重大漏洞，它出现在几乎所有 Java 系统都会用到的 Log4j 日志组件中。

因为 Log4j 的普及度太高，导致全世界无数网站、企业系统、云服务都暴露在风险之下。

黑客只需要发送一条特制的日志字符串，就能让服务器执行他们的恶意代码。让很多大型企业紧张了一段时间。

Log4Shell 至今仍被视为互联网历史上最严重的漏洞之一。

原文：https://www.appinn.com/react-rsc-cve-2025-55182/