获得徽章 0
- #挑战每日一条沸点# 关于React服务器组件存在高危漏洞的风险提示
漏洞描述 监测发现,React披露其服务器组件中存在远程代码执行漏洞(CVE-2025-55182),该漏洞会影响 React 19 及其使用的框架,包括 Next.js(对应编号:CVE-2025-66478)。React是一个用于构建用户界面的JavaScript库,广泛用于开发web应用程序和移动应用程序。该漏洞CVSS 评级为满分10.0,漏洞验证代码已公开,可能具备大规模利用的条件。 受影响组件及版本: 1、React包:react-server-dom-parcel、react-server-dom-webpack、react-server-dom-turbopack,版本包括19.0.0、19.1.0、19.1.1 和 19.2.0。 2、Next.js:Next.js 15.x、Next.js 16.x、Next.js 14.3.0-canary.77及更的canary版本。 3、其他嵌入或依赖于React Server Components实现的框架和插件(例如 Vite、Parcel、React Router、RedwoodSDK、Waku等)。
漏洞危害 该漏洞存在于React Server Components(RSC)通信机制中,由于其在解析客户端发来的 Flight 请求时,未能正确验证对象结构的安全类型触发反序列化漏洞,在特定条件下,精心构造的请求可导致远程代码执行。
缓解方案 官方修复链接:
react.dev。 受攻击检测:Web日志中如发现包含 vm#,$ACTION_REF_0或$ACTION相关字符串的 POST 请求,且请求目标为 Next.js 或 React 应用接口,则表示已遭到扫描或攻击。 展开赞过
评论1
react.dev