React Server Components 存在严重的远程代码执行漏洞
严重性等级:严重
发布日期: 2025年12月3日 最后更新: 2025年12月8日 相关仓库: vitejs/vite-plugin-react
漏洞详情
包名: @vitejs/plugin-rsc (npm)
受影响版本: <= 0.5.2 已修复版本: 0.5.3
描述
概要
@vitejs/plugin-rsc 插件集成了 react-server-dom-webpack 库。在版本 19.0.1、19.1.2 和 19.2.1 之前的 react-server-dom-webpack 中,存在一个未经身份验证的远程代码执行(RCE)漏洞。详情请参见 React 仓库的公告 GHSA-fv66-9v8q-g76r。
影响
使用受影响版本 @vitejs/plugin-rsc 的应用程序,面临通过对不可信数据进行反序列化而导致的未经身份验证的远程代码执行风险。攻击者可以在无需身份验证的情况下远程执行任意代码,从而影响系统的机密性、完整性和可用性。
建议
立即升级到 @vitejs/plugin-rsc@0.5.3 或更高版本。
缓解措施
不使用服务器端 React 或 React Server Components 的应用程序不受影响。
参考链接
- GHSA-fv66-9v8q-g76r
- GHSA-fmh4-wr37-44fp
- react.dev/blog/2025/1…
技术指标
严重程度: 严重 CVSS 总体评分: 10.0
CVSS v3 基本指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 已变更
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
弱点: CWE-502 - 对不可信数据的反序列化
GHSA ID: GHSA-fmh4-wr37-44fp
源代码: vitejs/vite-plugin-react
注意: 此公告已被编辑,详情请查看历史记录。 glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxd00S3vvoIRTkFm6IrbAmpRm1sG4zB7frJRbp/h8oO9ew==
