【复现+支持检测】React/Next.js远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
绿盟科技发布安全公告,修复了React和Next.js中的远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)。受影响版本包括React Server 19.0.0至19.2.0和Next.js 15.0.0至16.0.6。用户应尽快升级或采取临时防护措施。
🎯
关键要点
- 绿盟科技发布安全公告,修复了React和Next.js中的远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)。
- 受影响版本包括React Server 19.0.0至19.2.0和Next.js 15.0.0至16.0.6。
- 攻击者可利用该漏洞通过构造特制表单调用Node.js内置模块,在目标服务器上执行任意代码。
- CVSS评分为10.0,漏洞细节与PoC已公开,用户应尽快采取防护措施。
- 不受影响版本包括React Server 19.0.1及以上版本和Next.js 13.x及以上版本。
- 用户可通过检查项目是否使用React Server Component(RSC)来排查漏洞风险。
- 绿盟科技提供了自动化渗透测试工具(EZ)支持漏洞风险检测,用户可进行扫描。
- 建议受影响用户尽快升级到官方发布的新版本以进行防护,或采取临时防护措施。
❓
延伸问答
CVE-2025-55182和CVE-2025-66478漏洞的影响是什么?
攻击者可以利用这些漏洞通过构造特制表单调用Node.js内置模块,在目标服务器上执行任意代码。
哪些版本的React和Next.js受到此漏洞影响?
受影响的React版本包括19.0.0至19.2.0,Next.js版本包括15.0.0至16.0.6。
如何检测我的项目是否受此漏洞影响?
用户可以检查项目是否使用React Server Component(RSC),并确认版本是否在受影响范围内。
如果无法立即升级,用户可以采取哪些临时防护措施?
用户可以禁用React Server Components功能或对Server Function端点进行访问限制。
绿盟科技提供了哪些工具来检测此漏洞?
绿盟科技提供了自动化渗透测试工具(EZ),支持Next.js的服务识别和漏洞风险检测。
如何获取React和Next.js的安全更新?
用户可以通过官方发布的链接下载新版本以进行防护。
➡️
