文章总结： React服务器组件存在高危漏洞CVE-2026-23869，攻击者可通过特制HTTP请求导致CPU资源耗尽引发拒绝服务。影响react-server-dom-parcel等npm包的19.0.0-19.0.4、19.1.0-19.1.5、19.2.0-19.2.4版本。建议立即升级至19.0.5、19.1.6或19.2.5修复版本，仅服务器端渲染应用受影响。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全

React 服务器组件新漏洞可能使攻击者触发拒绝服务攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月10日 19:10 北京

在小说阅读器读本章

去阅读

React 服务器组件中新披露的一个高危漏洞可能允许未经身份验证的攻击者触发拒绝服务 (DoS)攻击。

该漏洞编号为 CVE-2026-23869，对使用特定服务器端渲染包的 Web 应用程序构成重大风险。

由于该漏洞利用不需要任何特权，且攻击复杂度较低，因此威胁行为者可以很容易地通过网络攻击易受攻击的服务器，从而扰乱业务运营。

了解漏洞利用

该漏洞被归类为不受控制的资源消耗问题（CWE-400），并且还与不安全的反序列化实践（CWE-502）有关。

威胁行为者可以通过向 React 服务器函数端点发送特制的 HTTP 请求来触发此漏洞。

当易受攻击的服务器收到此恶意载荷时，它会尝试处理请求，从而导致 CPU 使用率大幅飙升。

单个请求就可能导致 CPU 使用率过高，持续长达一分钟，最终才会抛出可捕获的错误。如果攻击者持续发送这类精心构造的请求，服务器的处理能力将迅速耗尽。

资源耗尽导致应用程序无法处理合法用户流量，从而造成应用程序停机和用户体验完全中断。

该漏洞专门针对流行的 Web 打包工具使用的服务器端文档对象模型 (DOM) 包。

如果您的应用程序依赖于 React 服务器组件，则必须检查项目依赖项中是否包含以下 npm 包：

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

这三个软件包的三个活跃版本中都存在此漏洞：

• 版本 19.0.0 至 19.0.4
• 版本 19.1.0 至 19.1.5
• 版本 19.2.0 至 19.2.4

React 开发团队已成功将安全修复程序移植到旧版本，以解决不受控制的资源消耗漏洞。

为保护您的基础架构免受潜在的拒绝服务攻击，管理员必须立即将受影响的 npm 包升级到以下已修补的版本：

• 更新至版本 19.0.5
• 更新至版本 19.1.6
• 更新至版本 19.2.5

需要注意的是，并非所有 React 应用都存在风险。该漏洞仅限于运行 React 服务器组件的环境。

如果您的 React 应用完全在客户端运行，没有服务器端，则不会受到影响。同样，如果您的应用未使用任何支持 React 服务器组件的框架、打包工具或打包插件，则可以忽略此警告。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《React 服务器组件新漏洞可能使攻击者触发拒绝服务攻击》