2025年12月3日，React2Shell漏洞（CVE-2025-55182）被公开后，Cloudforce One团队监测到亚洲威胁组织的扫描和利用尝试。该漏洞允许攻击者通过特制HTTP请求在受影响服务器上执行任意JavaScript。Cloudflare已采取新规则阻止相关攻击，并发现了两个额外的RSC漏洞（CVE-2025-55183和CVE-2025-55184）。组织应优先修补受影响的React组件以防范威胁。

React Server Components（RSC）存在安全漏洞（CVE-2025-55182），攻击者可利用该漏洞执行恶意代码。使用NextJS App Router或React 19的开发者需立即更新到安全版本，以防止数据泄露和服务器控制。建议更换所有应用密钥并审查日志以确保安全。

2025年11月29日，Lachlan Davidson报告了React Server Components的远程代码执行漏洞（CVE-2025-55182），严重性为10.0。该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本，已被多个中国国家关联的威胁组织利用。建议公司立即修补，攻击者可通过特定payload污染JavaScript对象，执行任意代码。

2025年12月4日，CVE-2025-55182漏洞影响所有Next.js应用，用户应立即升级到修补版本。Vercel已监控流量并阻止已知攻击，用户需检查并更新版本以确保安全。

CVE-2025-55182 是一个 CVSS 10.0 的严重漏洞，影响 React Server Components（RSC），允许未授权的远程代码执行。该漏洞影响了许多使用 Next.js 的知名网站，开发者需尽快升级到修复版本。

Cloudflare针对React Server Components（RSC）中的远程代码执行漏洞（CVE-2025-55182）推出了新保护措施。所有Cloudflare用户的React应用流量通过Cloudflare Web应用防火墙（WAF）代理时，均可自动获得保护。建议用户更新至React 19.2.1及最新版本的Next.js。Cloudflare将持续监控潜在攻击并更新保护措施。