React的关键“React2Shell”漏洞——您需要了解的内容以及如何升级您的应用
freeCodeCamp.org freeCodeCamp.org ·

React的关键“React2Shell”漏洞——您需要了解的内容以及如何升级您的应用
💡 原文英文,约1500词,阅读约需6分钟。
📝

内容提要

React Server Components(RSC)存在安全漏洞(CVE-2025-55182),攻击者可利用该漏洞执行恶意代码。使用NextJS App Router或React 19的开发者需立即更新到安全版本,以防止数据泄露和服务器控制。建议更换所有应用密钥并审查日志以确保安全。

🎯

关键要点

  • React Server Components(RSC)存在安全漏洞(CVE-2025-55182),攻击者可利用该漏洞执行恶意代码。
  • 使用NextJS App Router或React 19的开发者需立即更新到安全版本,以防止数据泄露和服务器控制。
  • 漏洞允许攻击者发送特制的HTTP请求,迫使服务器执行恶意代码。
  • React的复杂序列化和'Flight'协议导致了该漏洞的出现。
  • 如果使用NextJS App Router(v13+)或启用Server Components的React 19版本,需立即采取行动。
  • 攻击者可以窃取环境变量、获得Shell访问、进行横向移动、污染供应链和招募僵尸网络。
  • 必须更新依赖项到已修补的NextJS和React版本,以解决该漏洞。
  • 建议在修补版本后更换所有应用密钥,并审查日志以确保安全。
  • 如果怀疑服务器已被攻击,需立即隔离并关闭服务器,旋转所有密钥,并重建服务器。
🏷️

标签

CVE-2025-55182 NextJS React Server Components react 安全漏洞 恶意代码 漏洞
👤 个人中心
在公众号发送验证码完成验证