【复现+支持检测】React/Next.js远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)
内容提要
绿盟科技发布安全公告,修复了React和Next.js中的远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)。受影响版本包括React Server 19.0.0至19.2.0和Next.js 15.0.0至16.0.6。用户应尽快升级或采取临时防护措施。
关键要点
-
绿盟科技发布安全公告,修复了React和Next.js中的远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)。
-
受影响版本包括React Server 19.0.0至19.2.0和Next.js 15.0.0至16.0.6。
-
攻击者可利用该漏洞通过构造特制表单调用Node.js内置模块,在目标服务器上执行任意代码。
-
CVSS评分为10.0,漏洞细节与PoC已公开,用户应尽快采取防护措施。
-
不受影响版本包括React Server 19.0.1及以上版本和Next.js 13.x及以上版本。
-
用户可通过检查项目是否使用React Server Component(RSC)来排查漏洞风险。
-
绿盟科技提供了自动化渗透测试工具(EZ)支持漏洞风险检测,用户可进行扫描。
-
建议受影响用户尽快升级到官方发布的新版本以进行防护,或采取临时防护措施。
延伸解读
漏洞影响范围
此次漏洞影响的版本包括React Server 19.0.0至19.2.0和Next.js 15.0.0至16.0.6,用户需特别注意这些版本的使用情况。未受影响的版本包括React Server 19.0.1及以上和Next.js 13.x及以上,用户应及时检查并升级到安全版本,以防止潜在的攻击风险。
漏洞排查与防护措施
用户可以通过检查项目是否使用React Server Component (RSC)来排查漏洞风险。如果确定使用了RSC,需进一步确认版本是否在受影响范围内。此外,绿盟科技提供的自动化渗透测试工具(EZ)可帮助用户进行漏洞风险检测,建议尽快使用该工具进行扫描。
临时防护建议
在无法立即升级的情况下,用户可采取临时防护措施,如禁用React Server Components功能或限制Server Function端点的访问。这些措施可以在一定程度上降低漏洞被利用的风险,确保系统的安全性。
延伸问答
CVE-2025-55182和CVE-2025-66478漏洞的影响是什么?
攻击者可以利用这些漏洞通过构造特制表单调用Node.js内置模块,在目标服务器上执行任意代码。
哪些版本的React和Next.js受到此漏洞影响?
受影响的React版本包括19.0.0至19.2.0,Next.js版本包括15.0.0至16.0.6。
如何检测我的项目是否受此漏洞影响?
用户可以检查项目是否使用React Server Component(RSC),并确认版本是否在受影响范围内。
如果无法立即升级,用户可以采取哪些临时防护措施?
用户可以禁用React Server Components功能或对Server Function端点进行访问限制。
绿盟科技提供了哪些工具来检测此漏洞?
绿盟科技提供了自动化渗透测试工具(EZ),支持Next.js的服务识别和漏洞风险检测。
如何获取React和Next.js的安全更新?
用户可以通过官方发布的链接下载新版本以进行防护。
