严重安全漏洞:React Server Components 中的漏洞 (CVE-2025-55182)
React Server Components (RSC) 中披露了一个严重的远程代码执行 (RCE) 漏洞。该漏洞允许未认证的攻击者通过发送单个精心构造的恶意 HTTP 请求,在您的服务器上执行任意代码。
这是一个严重性等级为 10.0(危急) 的问题。如果您正在运行 Next.js、React Router (RSC),或直接使用 react-server-dom-* 包,您的应用程序很可能默认存在漏洞。
为何此漏洞如此严重
大多数 RCE 漏洞需要认证用户或复杂的利用链,但这个漏洞不需要。
- 无需认证:攻击向量暴露于公共互联网。
- 默认配置漏洞:您无需显式使用“服务器操作”即会受影响。漏洞存在于处理请求的底层协议(“Flight”)中。
- 利用门槛极低:攻击者可以使用包含序列化负载的标准 HTTP POST 请求攻陷服务器。
技术问题:不安全的反序列化
该漏洞源于 React Server Components 反序列化客户端数据的方式。RSC 使用 React Flight 协议在客户端和服务器之间通信。服务器反序列化传入的负载以解析模块导出和函数调用。该漏洞允许攻击者操纵此反序列化过程,注入恶意结构。
由于服务器在处理负载之前未能验证其结构,攻击者可以诱骗服务器在 Node.js 运行时下执行任意 JavaScript 代码。
受影响版本
如果您使用带有 Server Components 的 React 19.x,请立即检查您的版本。
该漏洞影响以下 19.0.0 至 19.2.0 版本的包:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
受影响的框架:
- Next.js:15.x 和 16.x 版本直接受影响。
- Waku、RedwoodJS、React Router (RSC):任何依赖受影响 React 包的框架。
修复方法
您必须立即升级依赖项。React 团队和框架维护者已发布补丁。
-
更新 React 依赖项 升级到以下已打补丁的版本(或更新版本):
- v19.0.1
- v19.1.2
- v19.2.1 后续还发布了额外的补丁(19.0.3+)以解决次要的 DoS 攻击向量。建议升级到可用的绝对最新版本。
-
更新您的框架 如果您使用 Next.js,请升级到您版本线中的最新补丁版本(例如,Next.js 15.0.5+ 或 16.0.7+)。
这不是理论上的风险,已观察到野外利用行为。攻击面广泛,攻击者的入门门槛很低。
请立即为您的生产环境打补丁。 CSD0tFqvECLokhw9aBeRqjHgcQL2zAWiJgvq4h312J6A3zyK6gdj3mUhN794OLgyM9xwp5vtC4AeqGHtp6xisSpyARWeLjOYBfGXF9Lts1gVhuUy/HF7f2yj+7tVTNueA2UH6eKXTLfTPNiubluLPUhJ5cOQPb9nNIBsa33g8kg=
