💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
CVE-2025-55182 是一个 CVSS 10.0 的严重漏洞,影响 React Server Components(RSC),允许未授权的远程代码执行。该漏洞影响了许多使用 Next.js 的知名网站,开发者需尽快升级到修复版本。
🎯
关键要点
- CVE-2025-55182 是一个 CVSS 10.0 的严重漏洞,影响 React Server Components(RSC)。
- 该漏洞允许未授权的远程代码执行,影响范围极广,尤其是使用 Next.js 的知名网站。
- RSC 是 React 官方推荐的下一代架构,已成为 Next.js 的默认工作方式。
- 许多知名公司如 Netflix、Twitch、Hulu 等都在使用 Next.js,因此漏洞影响深远。
- 开发者需尽快升级到已修复版本,包括 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 的多个版本。
- Next.js 的修复版本包括 15 系列和 16 系列的多个版本。
- 该漏洞被社区戏称为 React2Shell,类比于历史上著名的 Log4Shell 漏洞。
❓
延伸问答
CVE-2025-55182 漏洞的严重性如何?
CVE-2025-55182 是一个 CVSS 10.0 的严重漏洞,允许未授权的远程代码执行。
哪些网站受到 CVE-2025-55182 漏洞的影响?
许多使用 Next.js 的知名网站,如 Netflix、Twitch 和 Hulu,都受到该漏洞的影响。
开发者应该如何应对 CVE-2025-55182 漏洞?
开发者需尽快升级到已修复版本,包括 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 的多个版本。
React Server Components (RSC) 是什么?
RSC 是 React 官方推荐的下一代架构,允许在服务器上执行部分组件,以提高页面加载速度和安全性。
CVE-2025-55182 漏洞与 Log4Shell 有何相似之处?
该漏洞被社区戏称为 React2Shell,类比于历史上著名的 Log4Shell 漏洞,都是高危的远程代码执行漏洞。
哪些版本的 Next.js 已经修复了 CVE-2025-55182 漏洞?
Next.js 的修复版本包括 15 系列和 16 系列的多个版本,如 15.0.5、15.1.9、16.0.7 等。
➡️
