内容提要
2025年11月29日,Lachlan Davidson报告了React Server Components的远程代码执行漏洞(CVE-2025-55182),严重性为10.0。该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本,已被多个中国国家关联的威胁组织利用。建议公司立即修补,攻击者可通过特定payload污染JavaScript对象,执行任意代码。
关键要点
-
2025年11月29日,Lachlan Davidson报告了React Server Components的远程代码执行漏洞(CVE-2025-55182),严重性为10.0。
-
该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本,已被多个中国国家关联的威胁组织利用。
-
建议公司立即修补,攻击者可通过特定payload污染JavaScript对象,执行任意代码。
-
漏洞利用了React Server Components的序列化/反序列化协议,攻击者可以创建promise-like对象来执行任意代码。
-
修复方法是添加hasOwnProperty检查以避免JavaScript对象原型污染,但漏洞利用过程相对简单,已有公开的利用代码。
-
AWS及其他安全公司报告了活跃的利用尝试,包含武器化payload。
-
攻击者需要通过构造payload来污染对象,并利用不安全的反序列化来访问污染的属性。
-
未修补的React版本不验证序列化payload,导致攻击者可以读取文件、生成进程和运行任意命令。
-
公司应尽快修补受影响的包及其依赖的包。
延伸问答
CVE-2025-55182漏洞的严重性如何?
该漏洞的严重性为10.0,属于最高级别。
哪些版本的React和Next.js受到CVE-2025-55182漏洞的影响?
受影响的版本包括React 19.0.0至19.2.0及Next.js 15.x和16.x。
攻击者如何利用CVE-2025-55182漏洞?
攻击者通过特定payload污染JavaScript对象,利用不安全的反序列化执行任意代码。
公司应该如何应对CVE-2025-55182漏洞?
公司应立即修补受影响的包及其依赖的包。
CVE-2025-55182漏洞的修复方法是什么?
修复方法是添加hasOwnProperty检查以避免JavaScript对象原型污染。
目前是否有关于CVE-2025-55182漏洞的活跃利用尝试?
是的,AWS及其他安全公司报告了活跃的利用尝试,包含武器化payload。
