清竹茶馆博客
·
【译】React 服务器组件中的关键安全漏洞
💡
原文中文,约3200字,阅读约需8分钟。
📝
内容提要
React 服务器组件存在未认证的远程代码执行漏洞(CVE-2025-55182),影响版本为19.0至19.2.0。攻击者可通过恶意请求执行任意代码。建议立即升级至安全版本19.0.1、19.1.2或19.2.1。
🎯
关键要点
- React 服务器组件存在未认证的远程代码执行漏洞(CVE-2025-55182),影响版本为19.0至19.2.0。
- 攻击者可通过恶意请求执行任意代码,直接接管后端环境。
- 即使未实现任何 React Server Function,只要启用了 RSC 能力,项目也可能处于风险中。
- 受影响的框架与工具包括 Next.js、React Router、Waku 等。
- 完全运行在客户端的 React 应用不受影响。
- 建议立即升级至安全版本19.0.1、19.1.2或19.2.1。
- 漏洞时间线显示,漏洞于11月29日被报告,12月3日正式披露。
- React Server Functions 允许客户端通过 HTTP 请求调用服务器上的函数,漏洞出在服务端解码载荷的环节。
- 建议确认项目所用的 React 与框架版本,并监控服务器日志与入侵检测。
- 感谢安全研究员 Lachlan Davidson 发现并报告漏洞,强调安全的重要性。
➡️
