文章总结： React团队披露了影响ReactServerComponents的三个新增安全缺陷，包括一个高危拒绝服务攻击漏洞和一个中危源代码泄露漏洞。这些漏洞影响react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack软件包，使用Next.js等框架的用户可能受影响。即使已升级至19.0.2、19.1.3或19.2.2版本仍存在风险，开发者必须立即升级至安全版本19.0.3、19.1.4或19.2.3以修复这些漏洞。 综合评分： 91 文章分类： 漏洞分析,WEB安全,应用安全,漏洞预警,网络安全

React再曝新高危漏洞，可致拒绝服务攻击与源代码泄露

FreeBuf

2025年12月13日 18:03 上海

在修复关键远程代码执行（RCE）漏洞不到一周后，React 团队又披露了影响 React Server Components（RSC）的三个新增安全缺陷。安全研究人员在尝试绕过此前”React2Shell”漏洞缓解措施时发现了这些新问题。

Part01

漏洞风险分析

虽然原始 RCE 补丁仍然有效，但新发现的漏洞引入了拒绝服务（DoS）和服务器端源代码未授权暴露的风险。React 团队强调，此前发布的更新（19.0.2、19.1.3 和 19.2.2 版本）包含不完整修复，需要立即进行第二次升级。

其中最严重的高危漏洞涉及拒绝服务攻击向量。研究人员发现，向 Server Functions 端点发送恶意 HTTP 请求可触发 React 反序列化过程中的无限循环，导致服务器进程挂起并耗尽可用 CPU 资源，最终使应用程序下线。

Part02

漏洞详情与影响范围

另一个中危漏洞允许攻击者操纵 HTTP 请求泄露 Server Functions 的源代码。虽然运行时密钥（如环境变量）仍保持安全，但函数内任何硬编码密钥或逻辑都可能被暴露。

漏洞追踪信息如下：

Part03

受影响版本与修复方案

这些漏洞影响 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 软件包。使用 Next.js、Waku 和 React Router 等框架的用户可能受到影响。

本周早些时候发布的初始补丁并不完整。如果您当前运行的是 19.0.2、19.1.3 或 19.2.2 版本，仍可能遭受 DoS 攻击（CVE-2025-67779）。开发者必须立即升级至以下”安全”版本：

• 19.0.x 分支：升级至 19.0.3
• 19.1.x 分支：升级至 19.1.4
• 19.2.x 分支：升级至 19.2.3

React 团队指出，在高调披露漏洞后通常会发现后续漏洞，这与”Log4Shell”事件类似，社区调查往往会发现相邻缺陷。这些漏洞的发现归功于研究人员 Andrew MacPherson、RyotaK 和 Shinsaku Nomura。

参考来源：

New Vulnerabilities in React Server Components Allow DoS Attacks and Source Code Leaks

New Vulnerabilities in React Server Components Allow DoS Attacks and Source Code Leaks

#

#

#

推荐阅读

#

电台讨论

查看原文：《React再曝新高危漏洞，可致拒绝服务攻击与源代码泄露》