官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
在修复关键远程代码执行(RCE)漏洞不到一周后,React 团队又披露了影响 React Server Components(RSC)的三个新增安全缺陷。安全研究人员在尝试绕过此前"React2Shell"漏洞缓解措施时发现了这些新问题。
漏洞风险分析
虽然原始 RCE 补丁仍然有效,但新发现的漏洞引入了拒绝服务(DoS)和服务器端源代码未授权暴露的风险。React 团队强调,此前发布的更新(19.0.2、19.1.3 和 19.2.2 版本)包含不完整修复,需要立即进行第二次升级。
其中最严重的高危漏洞涉及拒绝服务攻击向量。研究人员发现,向 Server Functions 端点发送恶意 HTTP 请求可触发 React 反序列化过程中的无限循环,导致服务器进程挂起并耗尽可用 CPU 资源,最终使应用程序下线。
漏洞详情与影响范围
另一个中危漏洞允许攻击者操纵 HTTP 请求泄露 Server Functions 的源代码。虽然运行时密钥(如环境变量)仍保持安全,但函数内任何硬编码密钥或逻辑都可能被暴露。
漏洞追踪信息如下:
| CVE 编号 | 漏洞类型 | 严重等级 | CVSS 评分 |
|---|---|---|---|
| CVE-2025-55184 | 拒绝服务 | 高危 | 7.5 |
| CVE-2025-67779 | 拒绝服务(补丁绕过) | 高危 | 7.5 |
| CVE-2025-55183 | 源代码暴露 | 中危 | 5.3 |
受影响版本与修复方案
这些漏洞影响 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 软件包。使用 Next.js、Waku 和 React Router 等框架的用户可能受到影响。
本周早些时候发布的初始补丁并不完整。如果您当前运行的是 19.0.2、19.1.3 或 19.2.2 版本,仍可能遭受 DoS 攻击(CVE-2025-67779)。开发者必须立即升级至以下"安全"版本:
- 19.0.x 分支:升级至 19.0.3
- 19.1.x 分支:升级至 19.1.4
- 19.2.x 分支:升级至 19.2.3
React 团队指出,在高调披露漏洞后通常会发现后续漏洞,这与"Log4Shell"事件类似,社区调查往往会发现相邻缺陷。这些漏洞的发现归功于研究人员 Andrew MacPherson、RyotaK 和 Shinsaku Nomura。
参考来源:
New Vulnerabilities in React Server Components Allow DoS Attacks and Source Code Leaks
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)