InfoQ
·
紧急修补 - React Server Functions中的关键漏洞CVE-2025-55182正在被积极利用
内容提要
2025年11月29日,Lachlan Davidson报告了React Server Components的远程代码执行漏洞(CVE-2025-55182),严重性为10.0。该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本,已被多个中国国家关联的威胁组织利用。建议公司立即修补,攻击者可通过特定payload污染JavaScript对象,执行任意代码。
关键要点
-
2025年11月29日,Lachlan Davidson报告了React Server Components的远程代码执行漏洞(CVE-2025-55182),严重性为10.0。
-
该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本,已被多个中国国家关联的威胁组织利用。
-
建议公司立即修补,攻击者可通过特定payload污染JavaScript对象,执行任意代码。
-
漏洞利用了React Server Components的序列化/反序列化协议,攻击者可以创建promise-like对象来执行任意代码。
-
修复方法是添加hasOwnProperty检查以避免JavaScript对象原型污染,但漏洞利用过程相对简单,已有公开的利用代码。
-
AWS及其他安全公司报告了活跃的利用尝试,包含武器化payload。
-
攻击者需要通过构造payload来污染对象,并利用不安全的反序列化来访问污染的属性。
-
未修补的React版本不验证序列化payload,导致攻击者可以读取文件、生成进程和运行任意命令。
-
公司应尽快修补受影响的包及其依赖的包。
延伸解读
漏洞影响范围
CVE-2025-55182漏洞影响了多个版本的React和Next.js,特别是19.0.0至19.2.0的React和15.x、16.x的Next.js。这意味着使用这些版本的应用程序面临严重风险,企业需优先评估其系统是否受影响。
修复建议与实施
针对该漏洞的修复相对简单,主要是添加hasOwnProperty检查以防止原型污染。然而,企业在实施修复时需确保所有相关依赖包也得到更新,以避免潜在的安全隐患。
攻击者的利用手法
攻击者通过构造特定的payload来污染JavaScript对象,并利用不安全的反序列化来执行任意代码。这种攻击方式相对简单,且已有公开的利用代码,企业需提高警惕,防范此类攻击。
延伸问答
CVE-2025-55182漏洞的严重性如何?
该漏洞的严重性为10.0,属于最高级别。
哪些版本的React和Next.js受到CVE-2025-55182漏洞的影响?
受影响的版本包括React 19.0.0至19.2.0及Next.js 15.x和16.x。
攻击者如何利用CVE-2025-55182漏洞?
攻击者通过特定payload污染JavaScript对象,利用不安全的反序列化执行任意代码。
公司应该如何应对CVE-2025-55182漏洞?
公司应立即修补受影响的包及其依赖的包。
CVE-2025-55182漏洞的修复方法是什么?
修复方法是添加hasOwnProperty检查以避免JavaScript对象原型污染。
目前是否有关于CVE-2025-55182漏洞的活跃利用尝试?
是的,AWS及其他安全公司报告了活跃的利用尝试,包含武器化payload。
