腾讯云安全中心监测到, React Server Components 被披露其存在远程代码执行漏洞,漏洞编号CVE-2025-55182。并且影响使用 App Router 的 Next.js 应用程序,其漏洞编号CVE-2025-66478。两个漏洞均可导致未经身份验证的远程攻击者执行任意代码等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
React Server Components (RSC) 是一种由 React 核心团队设计的新架构,用于构建高性能的混合渲染应用。
据官方描述,在 React 的服务器组件库 (React Server Components,即 RSC)中,由于 React 在解码发送至服务器函数端点的请求负载时存在安全缺陷,导致未经身份验证的远程攻击者可以通过向任何服务器函数端点发送特制的恶意 HTTP 请求,当该请求被 React 反序列化处理时,即可在服务器上实现远程代码执行,从而完全控制服务器。
注:该漏洞影响所有使用受影响库并启用了 React 服务器组件或服务器函数端点的应用。
目前该漏洞的漏洞细节、POC已公开。
风险等级
高风险
漏洞风险
未经身份验证的远程攻击者利用该漏洞可执行任意代码等危害。
影响版本
React 19.0
19.1.0 <= React < 19.1.2
React == 19.2.0
React DOM 19.0
19.1.0 <= React DOM < 19.1.2
React DOM == 19.2.0
react-server-dom-parcel (npm) 19.0
19.1.0 <= react-server-dom-parcel (npm) < 19.1.2
react-server-dom-parcel (npm) == 19.2.0
react-server-dom-turbopack (npm) 19.0
19.1.0 <= react-server-dom-turbopack (npm) < 19.1.2
react-server-dom-turbopack (npm) == 19.2.0
react-server-dom-webpack (npm) 19.0
19.1.0 <= react-server-dom-webpack (npm) < 19.1.2
react-server-dom-webpack (npm) == 19.2.0
14.3.0-canary.77 <= Next.js < 15.0.5
15.1.0 <= Next.js < 15.1.9
15.2.0 <= Next.js < 15.2.6
15.3.0 <= Next.js < 15.3.6
15.4.0 <= Next.js < 15.4.8
15.5.0 <= Next.js < 15.5.7
16.0.0 <= Next.js < 16.0.7
安全版本
React >= 19.0.1
React >= 19.1.2
React >= 19.2.1
React DOM >= 19.0.1
React DOM >= 19.1.2
React DOM >= 19.2.1
react-server-dom-parcel (npm) >= 19.0.1
react-server-dom-parcel (npm) >= 19.1.2
react-server-dom-parcel (npm) >= 19.2.1
react-server-dom-turbopack (npm) >= 19.0.1
react-server-dom-turbopack (npm) >= 19.1.2
react-server-dom-turbopack (npm) >= 19.2.1
react-server-dom-webpack (npm) >= 19.0.1
react-server-dom-webpack (npm) >= 19.1.2
react-server-dom-webpack (npm) >= 19.2.1
Next.js >= 15.0.5
Next.js >= 15.1.9
Next.js >= 15.2.6
Next.js >= 15.3.6
Next.js >= 15.4.8
Next.js >= 15.5.7
Next.js >= 16.0.7
修复建议
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本
(1) 针对 Next.js 用户: 所有用户都应升级到其版本系列中的最新补丁版本:
npm install next@15.0.5 //针对 15.0.x
npm install next@15.1.9 //针对 15.1.x
npm install next@15.2.6 //针对 15.2.x
npm install next@15.3.6 //针对 15.3.x
npm install next@15.4.8 //针对 15.4.x
npm install next@15.5.7 //针对 15.5.x
npm install next@16.0.7 //针对 16.0.x
(2) 如果您使用的是 Next.js 14.3.0-canary.77 或更高版本的 canary 版本,请降级到最新的稳定版 14.x:
npm install next@14
更多信息请参阅 Next.js 更新日志:
(3) 针对 React Router 用户:
如果您使用的是 React Router 不稳定的 RSC API,则应升级 package.json 文件中存在的以下依赖项:
npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest
(4) 针对 Expo 用户:
升级到最新版本 react-server-dom-webpack:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
(5) 针对 Redwood SDK 用户:
请确保您使用的是 rwsdk 版本 >= 1.0.0-alpha.0
npm install rwsdk@latest
升级到最新版本 react-server-dom-webpack:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
具体请参阅 Redwood 文档:
(6) 针对 Waku 用户:
升级到最新版本 react-server-dom-webpack:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
(7) 针对 RSC 插件 @vitejs/plugin-rsc 用户:
升级到最新版 RSC 插件:
npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
(8) 针对 react-server-dom-parcel 用户:
更新至最新版本:
npm install react@latest react-dom@latest react-server-dom-parcel@latest
(9) 针对 react-server-dom-turbopack 用户:
更新至最新版本:
npm install react@latest react-dom@latest react-server-dom-turbopack@latest
(10) 针对 react-server-dom-webpack 用户:
更新至最新版本:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
