Vercel News
·
React 服务器组件安全更新:拒绝服务和源代码泄露
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
React Server Components 发现两项新漏洞:高危拒绝服务(CVE-2025-55184)和中危源代码泄露(CVE-2025-55183)。这两项漏洞不支持远程代码执行,受影响版本为19.0.0至19.2.1,建议用户尽快升级到最新版本以确保安全。
🎯
关键要点
- React Server Components 发现两项新漏洞:高危拒绝服务(CVE-2025-55184)和中危源代码泄露(CVE-2025-55183)。
- 这两项漏洞不支持远程代码执行,受影响版本为19.0.0至19.2.1。
- 建议用户尽快升级到最新版本以确保安全。
- 恶意HTTP请求可以导致服务器进程挂起并消耗CPU。
- 恶意HTTP请求还可以返回Server Actions的编译源代码,可能泄露业务逻辑。
- 受影响的包包括react-server-dom-parcel、react-server-dom-webpack和react-server-dom-turbopack。
- 受影响的框架和打包工具包括Next.js及其他依赖React Server Components的框架。
- 已创建缓解措施并在全球平台上部署,仍建议用户升级到最新修补版本。
- 修复版本包括React: 19.0.2, 19.1.3, 19.2.2和Next.js的多个版本。
- 感谢RyotaK和Andrew MacPherson识别并报告这些漏洞,以及Meta安全团队和React团队的合作。
➡️
