Vercel News
·
React 服务器组件安全更新:拒绝服务和源代码泄露
内容提要
React Server Components 发现两项新漏洞:高危拒绝服务(CVE-2025-55184)和中危源代码泄露(CVE-2025-55183)。这两项漏洞不支持远程代码执行,受影响版本为19.0.0至19.2.1,建议用户尽快升级到最新版本以确保安全。
关键要点
-
React Server Components 发现两项新漏洞:高危拒绝服务(CVE-2025-55184)和中危源代码泄露(CVE-2025-55183)。
-
这两项漏洞不支持远程代码执行,受影响版本为19.0.0至19.2.1。
-
建议用户尽快升级到最新版本以确保安全。
-
恶意HTTP请求可以导致服务器进程挂起并消耗CPU。
-
恶意HTTP请求还可以返回Server Actions的编译源代码,可能泄露业务逻辑。
-
受影响的包包括react-server-dom-parcel、react-server-dom-webpack和react-server-dom-turbopack。
-
受影响的框架和打包工具包括Next.js及其他依赖React Server Components的框架。
-
已创建缓解措施并在全球平台上部署,仍建议用户升级到最新修补版本。
-
修复版本包括React: 19.0.2, 19.1.3, 19.2.2和Next.js的多个版本。
-
感谢RyotaK和Andrew MacPherson识别并报告这些漏洞,以及Meta安全团队和React团队的合作。
延伸问答
React 服务器组件发现了哪些新漏洞?
发现了高危拒绝服务漏洞(CVE-2025-55184)和中危源代码泄露漏洞(CVE-2025-55183)。
这些漏洞会导致远程代码执行吗?
这两项漏洞不支持远程代码执行。
受影响的 React 版本有哪些?
受影响的版本为19.0.0至19.2.1。
如何解决这些漏洞?
建议用户尽快升级到最新修补版本,如React: 19.0.2, 19.1.3, 19.2.2。
恶意请求会造成什么后果?
恶意请求可能导致服务器进程挂起并消耗CPU,或泄露业务逻辑的编译源代码。
哪些框架和工具受到了影响?
受影响的框架包括Next.js及其他依赖React Server Components的框架。
