一、概要

安全公司 Wiz 披露，React Server Components (RSC) 的 “Flight” 协议中出现严重远程代码执行漏洞，影响 React 19 及以其为基础的框架，主要包括 Next.js。两项漏洞编号为 CVE-2025-55182（React）与 CVE-2025-66478（Next.js），攻击者仅需发送特制的 HTTP 请求即可在服务器端执行代码，测试显示成功率接近 100%。

问题源于默认配置下的不安全反序列化逻辑，导致开发者无需改动代码即可能被攻击。Wiz 研究显示，约 39% 云环境含有存在风险的实例。React 与 Next.js 已发布加固版本，安全团队被建议立即升级以防被利用。

参考链接：

Cloudflare已经给所有用户包括免费用户默认开启了CVE-2025-55182防护

https://blog.cloudflare.com/waf-rules-react-vulnerability/

https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

https://nextjs.org/blog/CVE-2025-66478

二、威胁级别

威胁级别：【紧急】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

CVE-2025-55182：

React Server 19.0.0、19.1.0、19.1.1、19.2.0

其他受影响组件：

1、Dify所有已发布版本（截止2025.12.05）；

2、Lobechat < v1.143.2

CVE-2025-66478：

14.3.0-canary.77 <= Next < 15.0.5

15.1.0 <= Next < 15.1.9

15.2.0 <= Next < 15.2.6

15.3.0 <= Next < 15.3.6

15.4.0 <= Next < 15.4.8

15.5.0 <= Next < 15.5.7

16.0.0 <= Next < 16.0.7

安全版本：

CVE-2025-55182：

React Server 19.0.1、19.1.2、19.2.1

其他组件：

1、Dify v1.10.1-fix.1

2、Lobechat v1.143.2

CVE-2025-66478：

Next v16.0.7

Next v15.5.7

Next v15.4.8

Next v15.3.6

Next v15.2.6

Next v15.1.9

Next v15.0.5

其余 14.x 稳定版本 或者 14.3.0-canary.76版本，或更低版本不受影响

针对依赖 React Server的其他框架的修复方案可详见React官方公告“Update Instructions”模块内容

四、漏洞处置

目前，React、Next、Lobechat官方已发布新版本修复了该漏洞，Dify社区已发布补丁版本修复该漏洞，请受影响的用户升级到安全版本。

注：修复漏洞前请将资料备份，并进行充分测试。