React 被爆出 CVSS 评级 10 分的严重漏洞!

最新推荐文章于 2026-05-09 08:41:08 发布
原创 最新推荐文章于 2026-05-09 08:41:08 发布 · 649 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#react.js #前端 #前端框架

北京时间 2025 年 12 月 3 日,React 团队发布了一则极其重要的安全公告:React Server Components (RSC) 中存在一个严重的远程代码执行漏洞。

该漏洞已被分配编号 CVE-2025-55182,CVSS 评级为 10.0——这意味着这是最高级别的危急漏洞,不需要任何身份验证,攻击者即可利用该漏洞在服务器上执行任意代码。

🚨 漏洞核心:发生了什么?

简单来说,这是一个反序列化漏洞。

React Server Functions 允许客户端向服务器发送请求。React 提供了一套机制将客户端的 HTTP 请求转换为服务器端的函数调用。

问题出在 React 处理和解码这些发往 Server Function 端点的 payload(负载)的方式上。攻击者可以构造一个恶意的 HTTP 请求,当 React 在服务器端尝试反序列化这个请求时,就会触发漏洞,导致远程代码执行。

特别注意: 即使你的应用代码里没有显式地编写任何 Server Function,只要你的应用环境(框架或打包器)支持并开启了 React Server Components 功能,你就有可能受到攻击。

⚠️ 受影响的版本与范围

该漏洞影响以下包的 19.0.0, 19.1.0, 19.1.1, 19.2.0 版本:

  • react-server-dom-webpack

  • react-server-dom-parcel

  • react-server-dom-turbopack

如果你使用了依赖上述包的框架,那么你大概率是受影响的。这包括但不限于:

  • Next.js (重灾区)

  • React Router

  • Waku

  • Expo

  • Redwood SDK

  • @vitejs/plugin-rsc

🛠 解决方案:立即升级

React 团队已经发布了修复版本(19.0.1, 19.1.2, 19.2.1)。各大框架也已紧急跟进。请根据你使用的技术栈执行以下操作:

1. Next.js 用户 (最常见)

Next.js 用户需要将版本升级到各自大版本的最新补丁版:

  • Next.js 15.x:

    • 15.0.x 用户 -> 升级到 15.0.5

    • 15.1.x 用户 -> 升级到 15.1.9

    • 15.2.x 用户 -> 升级到 15.2.6

    • 15.3.x 用户 -> 升级到 15.3.6

    • 15.4.x 用户 -> 升级到 15.4.8

    • 15.5.x 用户 -> 升级到 15.5.7

  • Next.js 16.x:

    • 升级到 16.0.7

注意: 如果你正在使用 Next.js 14.3.0-canary.77 或更新的 canary 版本,官方建议降级到最新的稳定版 14.x

npm install next@14
2. React Router 用户

如果你使用了 React Router 不稳定的 RSC API,请检查并升级依赖:

npm install react@latest react-dom@latest react-server-dom-webpack@latest
# 如果使用了 parcel 或 vite 插件,也一并更新:
npm install react-server-dom-parcel@latest @vitejs/plugin-rsc@latest
3. Waku 用户
npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest
4. Expo 用户
npm install react@latest react-dom@latest react-server-dom-webpack@latest
5. Redwood SDK 用户

确保 rwsdk 版本 >=1.0.0-alpha.0,并升级到最新 beta:

npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

🛑 常见问题

Q: 我的应用是纯客户端渲染(SPA),没有服务器,受影响吗?A: 不受影响。如果你的 React 代码完全不涉及服务端运行,或者你的构建工具不支持 React Server Components,你是安全的。

Q: 云服务商帮我防住了吗?A: Meta 和 React 团队已经与部分托管服务商合作部署了临时缓解措施。但是,你绝不能依赖这一点。官方明确建议:不要抱侥幸心理,必须升级代码库依赖。

⏳ 时间线回顾

这次漏洞处理非常迅速:

  • 11月29日: 安全研究员 Lachlan Davidson 报告漏洞。

  • 11月30日: Meta 安全团队确认并开始修复。

  • 12月03日: 修复补丁发布至 npm,漏洞详情公开(CVE-2025-55182)。

建议:如果你在使用 React,需要立刻检查 package.json,安排紧急发布。

IT_1024
关注
react-scripts:5.0.1漏洞解决
qq_42327090的博客
07-03 1977
本文主要记录在解决react-scripts5.0.1版本的安全漏洞的过程中,怎么排查,以及怎么解决的过程,以及记录了中间用到的npm 指令
高危预警!React核心组件曝CVSS 9.8漏洞,数百万开发者面临远程代码执行风险
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-06 1186
React Native高危漏洞CVE-2025-11953曝光:全球开发环境面临远程代码执行风险。该漏洞存在于@react-native-community/cli-server-api组件中,CVSS9.8,影响4.8.0至20.0.0-alpha.2版本,每周下载量超200万次。攻击者无需认证即可通过网络访问触发漏洞,可能控制开发设备、窃取代码。建议立即升级至20.0.0+版本或通过限制服务器访问权限进行应急缓解。JFrog强调需加强开发环境安全防护,建立长期依赖管理机制,包括定期审计、输入净化和
一些 React 项目中可能存在的安全隐患
GoldenaArcher的博客
10-14 2172
公司要求完成一系列的安全课程(Security),其中正好有 React 相关的,就上完了这个课,并且发现了以前一些漏掉的问题,在此总结一下。
2025 年 React2Shell 远程代码执行漏洞:从发现到修复全揭秘!
最新发布
safetybug的博客
05-09 29
在 `Promise` 标准化之前,有大量社区实现的 Promise,遵循 `.then(...)` 约定的对象称为“可 then 对象”,`await` 调用 `Promise.resolve` 会宽松调用可 then 对象,若可 then 对象解析为另一个可 then 对象,也会被自动调用。将特定内容序列化并发送给 Flight,`await decodeReply(...)` 会调用攻击者提供的函数,请求会挂起,但运行时确实在构造的对象上调用了 `.then(resolve, reject)`。
React曝“炸弹级”漏洞(CVE-2025-55182),CVSS 10.0!已有在野利用,企业如何紧急防御
NOVAnet2023的博客
12-09 822
CVE-2025-55182 是 React 生态中罕见的高危漏洞,影响范围广、利用简单,企业需高度重视。建议优先升级修复,并结合云WAF等防护手段构建纵深防御体系。
网络安全漏洞React 框架
anquan2233的博客
12-04 1769
昨日爆出的 CVE-2025-55182,CVSS 10.0 满严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
转转前端周刊第178期: 如何用Claude Code 生成顶级UI
大转转FE
12-08 424
V3采用MoE架构和MLA注意力机制实现高效计算;该方法从复制CSS代码生成初版HTML开始,经多轮迭代优化,最终构建出像素级还原的Next.js项目,确保UI风格精准、统一,特别适合无设计经验的开发者快速实现专业级界面。文章强调需结合AI能力与传统工具交互,通过知识积累与产品优化,逐步提升助手实用性,最终实现高效、精准的数据析支持。这次没有堆新功能,而是一次彻底的底层更新——Vite 把原本 esbuild + Rollup 的组合式构建链路,全面替换成了由 Rust 编写的 Rolldown。
提升 React 应用的安全性:从这几点入手
bluemoon_0的博客
02-15 904
提升 React 应用的安全性:从这几点入手
React 爆出 CVSS 10.0 满漏洞,你的应用可能正在“裸奔”!
weixin_44829437的博客
12-04 1118
当服务器端的 React 尝试处理这个请求时,它不会像预期那样报错或拒绝,而是被诱导执行了攻击者指定的代码。攻击者不说“保存数据”,而是发送了一段加密的指令,类似于“把家里大门的钥匙给我配一把”。它通常非常隐蔽,因为问题不出在你的业务代码逻辑上,而是出在底层框架如何理解和翻译数据上。的情况下,通过发送精心构造的恶意请求,直接在你的服务器上**执行任意代码 (RCE)**。:解码器在翻译这段指令的过程中,不知不觉地就真的执行了“配钥匙”的操作。核心实现中的严重漏洞被披露,其 CVSS 风险评达到了罕见的。
React重大安全漏洞:服务器代码或被远程操控
feihanim的博客
12-05 1225
近期发现了一个严重的安全漏洞 CVE-2025-55182,影响 React 19 及其相关框架(如 Next.js)。该漏洞允许攻击者通过不安全的反序列化在服务器上执行任意代码。Wiz 安全研究数据显示,39% 的云环境存在此漏洞。安全团队应立即升级 React 及相关依赖,以确保系统安全。
React Router和Remix中的CVE-2025-31137漏洞详解与修复指南
W11929311582的博客
04-18 941
CVE-2025-31137是一个影响React Router(7.0.0到7.4.0版本)和Remix框架(2.11.1到2.16.2版本)中Express适配器的安全漏洞。该漏洞允许攻击者通过伪造HTTP请求头中的Host或字段,插入恶意的URL路径,从而操控请求的URL,导致未授权的重定向或访问敏感资源CVE-2025-31137是React Router和Remix Express适配器中的高危URL路径注入漏洞漏洞利用了Host和请求头中端口部未校验的缺陷。
React 有史以来最严重的一次核弹级安全漏洞,请速查!
weixin_44829437的博客
12-06 1066
当服务器端的 React 尝试处理这个请求时,它不会像预期那样报错或拒绝,而是被诱导执行了攻击者指定的代码。(CVE-2025-55182),并援引专家观点称其为“万能钥匙” (Master Key) 级别的攻击——攻击者只需发送一个 HTTP 请求即可控制服务器,无需登录。攻击者不说“保存数据”,而是发送了一段加密的指令,类似于“把家里大门的钥匙给我配一把”。允许我们在服务器上渲染组件。(服务端函数)请求的方式上。的情况下,通过发送精心构造的恶意请求,直接在你的服务器上**执行任意代码 (RCE)**。
紧急预警!React生态曝CVSS 9.8高危漏洞,200万周下载量组件面临远程代码执行风险
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-06 986
2025年11月,JFrog安全团队披露React Native高危漏洞CVE-2025-11953(CVSS 9.8)。该漏洞存在于核心组件@react-native-community/cli-server-api中,影响4.8.0至20.0.0-alpha.2版本,允许攻击者通过未净化的/open-url端点执行远程代码,波及全球数百万开发者。漏洞利用门槛低,可导致源代码泄露、系统控制等风险。应急方案包括:1)临时限制服务器访问范围;2)升级至20.0.0+版本。团队还提供了自动化扫描脚本,支持批量检
深入探究 React 史上最大安全漏洞
2501_92872533的博客
12-06 1053
本文档深入析了 React Flight 协议(React Server Actions 的底层协议)中的一个远程代码执行 (RCE) 漏洞。该利用链串联了三个关键漏洞引用解析中的未过滤路径遍历(可访问__proto__和伪造Chunk 注入 —— 将精心构造的对象伪装成内部 Chunk 对象处理。Function 构造函数注入—— 将方法替换为Function构造函数。
核弹级,React 爆出漏洞
NewTyun的博客
12-04 985
React Server Components是 React 团队推出的新一代服务端渲染方案,核心目标是在不牺牲客户端交互体验的前提下,最大化利用服务端能力,如直接访问数据库、避免敏感数据暴露,同时优化应用的性能、体积和加载速度。攻击者无需认证、无需登录、无需交互,仅需向公开服务器端点发送一个精心构造的POST 请求,即可在服务器上直接执行任意代码。Vite RSC 插件、Parcel RSC 插件、React Router RSC 预览版、RedwoodJS、Waku等。
React2Shell(CVE-2025-55182)漏洞服务器排查完整指南
斯黄人民的博客
12-08 1695
React2Shell(CVE-2025-55182) 是影响 React 19 与 Next.js严重 RCE 漏洞,已被黑客自动化扫描利用。文章给出依赖确认、环境隔离、系统取证、进程与网络排查、日志析、Server Actions 与 RSC 检查等完整流程,并配合安全工具构建可落地的应急与加固方案。
第一个大冤种来了!修复React漏洞,导致Cloudflare全球宕机25
weixin_44829437的博客
12-07 974
在 Cloudflare 老版本的代理程序(叫 FL1)中,有一个隐藏了多年的 Bug。在 12 月 5 日的事故报告中,Cloudflare 坦承:"我们知道这些改进本可以帮助防止今天的事故,但遗憾的是,我们还没有完成部署。Cloudflare 在事故后不到 24 小时就发布了详细的技术报告,完整解释了问题的原因、影响范围、时间线,甚至贴出了出错的代码。比如这次的问题,如果用 Rust 这样的强类型语言,编译器在编译时就会发现"访问可能不存在的对象"这个错误,根本不会让代码运行。这个改动本身没问题。
React、Next.js 曝出最高级别安全漏洞,尽快自查!
LuckyWinty的博客
12-10 193
如果你有线上项目跑在 React 19 或 Next.js App Router 上,请尽快完成升级。RSC 引入了一套新的序列化协议,而这次的漏洞让攻击者能伪造这个协议的消息。只要你的应用在线上暴露了相关接口,风险就是“默认存在”的。如果你在用 React 19 + RSC,或者用 Next.js 的 App Router,请立刻检查版本。RSC 在处理服务端请求时,需要把客户端发来的数据反序列化。本次问题就出在这里——如果你的项目还停在 pages router,或者没有用到 RSC,本次风险较小。
利用脚本注入漏洞攻击ReactJS应用程序
weixin_33827590的博客
08-01 703
ReactJS是一款能够帮助开发者构建用户接口的热门JavaScript库。在它的帮助下,开发者可以构建出内容丰富的客户端或Web应用,并且提前加载内容以提供更好的用户体验。 从设计角度来看,只要你能够按照开发标准来使用ReactJS的话,它其实是非常安全的。但是在网络安全领域中,没有任何东西是绝对安全的,而错误的编程实践方式将导致类似脚本注入漏洞之类...
React CVE-2025-55182漏洞排查与修复指南
jj1245_的博客
12-04 2220
应对此漏洞,最核心且唯一的根治方法是立即将React核心包及相关框架升级到官方指定的安全版本,并重新构建部署。整个过程应作为最高优先级的安全事件处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值