文章总结： ReactServerComponents存在严重远程代码执行漏洞CVE-2025-55182，CVSS评分10.0，已公开且正被大规模利用。该漏洞影响React19.0.0-19.2.0版本及Next.js等相关框架，允许未经身份验证的攻击者在服务器上执行任意代码。官方已发布修复版本，强烈建议立即升级React至对应安全版本，同时升级相关框架。如无法立即升级，可考虑临时禁用RSC功能或部署WAF防护规则。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,解决方案

【安全圈】React Server Components 远程代码执行漏洞

安全圈

2025年12月6日 19:01 江苏

关键词

漏洞

🔴 漏洞核心摘要

• 漏洞名称：React Server Components 远程代码执行漏洞
• CVE编号：CVE-2025-55182（CVE-2025-66478 被认定为重复编号）
• 威胁等级：严重（CVSS 10.0） – 最高风险级别
• 现状：漏洞细节与利用代码（PoC）已公开，并观测到大规模在野利用
• 核心问题：React在解码发往Server Function端点的负载时存在缺陷，允许未经身份验证的攻击者通过构造恶意请求，在服务器上执行任意代码。

📉 影响范围

受影响的React版本

• React 19.0.0
• React 19.1.0, 19.1.1
• React 19.2.0

受影响的框架/工具

• Next.js (v15.0.0 – v16.0.6 以及部分 Canary 版本)
• React Router (使用不稳定RSC API时)
• Waku
• @parcel/rsc, @vitejs/plugin-rsc, rwsdk 等相关RSC适配器

受影响的产品

• Dify、NextChat 等基于受影响框架构建的通用产品。

🛡️ 处置建议与修复方案

1. 立即升级（首要措施）

官方已发布修复版本，请根据您的项目依赖升级至以下安全版本：

| 受影响版本线 | 修复版本 | 升级命令示例 | | — | — | — | | React 19.0.x | 19.0.1 | npm install [email protected] [email protected] | | React 19.1.x | 19.1.2 | npm install [email protected] [email protected] | | React 19.2.x | 19.2.1 | npm install react@latest react-dom@latest |

对于框架用户，请同步升级框架本身：

• Next.js用户：升级至 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 或 16.0.7 等对应分支的最新补丁版本。
• 其他框架：请参照上文“漏洞信息”部分或官方文档升级相应包。

2. 本地自查

运行以下命令检查项目中是否使用了存在漏洞的包及其版本：

bash

复制

npm list react react-dom react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel next

检查输出中的版本号是否落在“受影响版本”范围内。

3. 临时缓解（如果无法立即升级）

• 评估禁用可能性：如果业务允许，可考虑临时禁用React Server Components功能。
• 网络层防护：在Web应用防火墙（WAF）中部署针对异常RSC请求的防护规则。
• 注意：这些只是临时措施，彻底修复的唯一方法是升级版本。

💎 总结

CVE-2025-55182是一个影响广泛且极易被利用的严重漏洞。鉴于利用代码已公开且正在被大规模扫描攻击，强烈建议所有使用React及相关框架的团队立即采取行动，优先检查和升级受影响系统。

END

阅读推荐

【安全圈】“淘宝崩了”“支付宝崩了”“闲鱼崩了”冲上热搜，客服回应

【安全圈】华硕 1TB 数据遭窃：官方回应仅供应商受影响，未波及用户与内部系统

【安全圈】违规收集使用个人信息，虎牙直播、呷哺呷哺等 69 款 App 被通报

【安全圈】安全警报“失联”，微软 Defender XDR 服务昨日全球宕机约 2 小时

【安全圈】强制手机预装网络安全应用引争议，印度回应称用户可自行卸载

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！