清竹茶馆博客
·
【译】React 服务器组件中的关键安全漏洞
内容提要
React 服务器组件存在未认证的远程代码执行漏洞(CVE-2025-55182),影响版本为19.0至19.2.0。攻击者可通过恶意请求执行任意代码。建议立即升级至安全版本19.0.1、19.1.2或19.2.1。
关键要点
-
React 服务器组件存在未认证的远程代码执行漏洞(CVE-2025-55182),影响版本为19.0至19.2.0。
-
攻击者可通过恶意请求执行任意代码,直接接管后端环境。
-
即使未实现任何 React Server Function,只要启用了 RSC 能力,项目也可能处于风险中。
-
受影响的框架与工具包括 Next.js、React Router、Waku 等。
-
完全运行在客户端的 React 应用不受影响。
-
建议立即升级至安全版本19.0.1、19.1.2或19.2.1。
-
漏洞时间线显示,漏洞于11月29日被报告,12月3日正式披露。
-
React Server Functions 允许客户端通过 HTTP 请求调用服务器上的函数,漏洞出在服务端解码载荷的环节。
-
建议确认项目所用的 React 与框架版本,并监控服务器日志与入侵检测。
-
感谢安全研究员 Lachlan Davidson 发现并报告漏洞,强调安全的重要性。
延伸问答
React 服务器组件的漏洞是什么?
React 服务器组件存在未认证的远程代码执行漏洞(CVE-2025-55182),攻击者可通过恶意请求执行任意代码。
哪些版本的 React 受到此漏洞影响?
受影响的版本包括 19.0、19.1.0、19.1.1 和 19.2.0。
如何修复这个漏洞?
建议立即升级至安全版本 19.0.1、19.1.2 或 19.2.1。
这个漏洞的影响范围有多大?
只要启用了 RSC 能力,项目就可能处于风险中,即使未实现任何 React Server Function。
漏洞是何时被发现和披露的?
漏洞于 11 月 29 日被报告,12 月 3 日正式披露。
哪些框架和工具受此漏洞影响?
受影响的框架包括 Next.js、React Router 和 Waku 等。
