Vercel News
·
React 服务器组件安全更新:拒绝服务和源代码泄露
内容提要
React Server Components 发现两项新漏洞:高危拒绝服务(CVE-2025-55184)和中危源代码泄露(CVE-2025-55183)。这两项漏洞不支持远程代码执行,受影响版本为19.0.0至19.2.1,建议用户尽快升级到最新版本以确保安全。
关键要点
-
React Server Components 发现两项新漏洞:高危拒绝服务(CVE-2025-55184)和中危源代码泄露(CVE-2025-55183)。
-
这两项漏洞不支持远程代码执行,受影响版本为19.0.0至19.2.1。
-
建议用户尽快升级到最新版本以确保安全。
-
恶意HTTP请求可以导致服务器进程挂起并消耗CPU。
-
恶意HTTP请求还可以返回Server Actions的编译源代码,可能泄露业务逻辑。
-
受影响的包包括react-server-dom-parcel、react-server-dom-webpack和react-server-dom-turbopack。
-
受影响的框架和打包工具包括Next.js及其他依赖React Server Components的框架。
-
已创建缓解措施并在全球平台上部署,仍建议用户升级到最新修补版本。
-
修复版本包括React: 19.0.2, 19.1.3, 19.2.2和Next.js的多个版本。
-
感谢RyotaK和Andrew MacPherson识别并报告这些漏洞,以及Meta安全团队和React团队的合作。
延伸解读
漏洞影响分析
此次发现的拒绝服务和源代码泄露漏洞,虽然不支持远程代码执行,但仍可能对应用的稳定性和安全性造成严重影响。恶意请求可能导致服务器挂起,影响用户体验,同时泄露的源代码可能暴露业务逻辑,增加被攻击的风险。
升级的重要性
受影响的版本包括19.0.0至19.2.1,用户应尽快升级到最新修补版本。虽然已部署缓解措施,但依赖这些措施并不能完全保障安全,及时更新是防止潜在攻击的最佳策略。
相关框架的影响
此次漏洞不仅影响React Server Components,还波及到多个依赖该组件的框架,如Next.js等。开发者需关注所使用框架的版本更新,确保其安全性,避免因框架漏洞导致的安全隐患。
延伸问答
React 服务器组件发现了哪些新漏洞?
发现了高危拒绝服务漏洞(CVE-2025-55184)和中危源代码泄露漏洞(CVE-2025-55183)。
这些漏洞会导致远程代码执行吗?
这两项漏洞不支持远程代码执行。
受影响的 React 版本有哪些?
受影响的版本为19.0.0至19.2.1。
如何解决这些漏洞?
建议用户尽快升级到最新修补版本,如React: 19.0.2, 19.1.3, 19.2.2。
恶意请求会造成什么后果?
恶意请求可能导致服务器进程挂起并消耗CPU,或泄露业务逻辑的编译源代码。
哪些框架和工具受到了影响?
受影响的框架包括Next.js及其他依赖React Server Components的框架。
