React重大安全漏洞:服务器代码或被远程操控
2025年12月3日,React 团队发布紧急安全公告,披露了一个存在于 React Server Components (RSC) 中的未授权远程代码执行(RCE)漏洞。该漏洞被编号为 CVE-2025-55182,CVSS 评分高达 10.0(满分),属于极度危险的漏洞。
“攻击者只需发送一个特制的 HTTP 请求,即可在服务器上执行任意代码,严重影响系统安全。”
漏洞详情
该漏洞源于 React 处理发送到 React Server Function 端点的 payload 时,存在解码缺陷。即使你的应用没有显式实现 React Server Function 端点,只要应用支持 React Server Components,就可能面临风险。
攻击者可以利用此漏洞,向 Server Function 端点发送恶意构造的 HTTP 请求。当 React 反序列化这些请求时,就会触发远程代码执行。这意味着攻击者可以在你的服务器上运行任意命令,窃取数据、修改系统配置甚至完全接管服务器。
据 Wiz 安全研究团队的数据显示,目前约有 39% 的云环境正在运行受影响的版本,暴露在巨大的安全风险之中。
受影响的版本
该漏洞主要存在于以下 npm 包的 19.0, 19.1.0, 19.1.1, 19.2.0 版本中:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
此外,依赖这些包的流行框架和打包工具也受到影响,包括但不限于:
- Next.js
- React Router
- Waku
- @parcel/rsc
- @vitejs/plugin-rsc
- RedwoodJS (rwsdk)
注意:如果你的 React 应用不使用服务端(SSR/RSC),或者不使用支持 React Server Components 的框架/打包器,则不受此漏洞影响。
紧急修复方案
React 团队已在 19.0.1, 19.1.2, 19.2.1 版本中修复了此漏洞。请所有受影响的用户立即采取行动。
1. Next.js 用户
请根据你当前使用的版本线,升级到对应的补丁版本:
# Next.js 15.0.x
npm install next@15.0.5
# Next.js 15.1.x
npm install next@15.1.9
# Next.js 15.2.x
npm install next@15.2.6
# Next.js 15.3.x
npm install next@15.3.6
# Next.js 15.4.x
npm install next@15.4.8
# Next.js 15.5.x
npm install next@15.5.7
# Next.js 16.0.x
npm install next@16.0.7
如果你使用的是 Next.js 14.3.0-canary.77 或更高版本的 canary 版本,请降级到最新的稳定版 14.x:
npm install next@14
2. React Router 用户
如果你使用了 React Router 的不稳定 RSC API,请更新相关依赖:
npm install react@latest react-dom@latest react-server-dom-parcel@latest react-server-dom-webpack@latest @vitejs/plugin-rsc@latest
3. 其他框架用户
- Expo / Redwood SDK / Waku:请确保升级
react-server-dom-webpack到最新版本。 - Vite / Parcel:请升级对应的 RSC 插件(
@vitejs/plugin-rsc或react-server-dom-parcel)到最新版本。
通用升级命令(针对直接依赖):
npm install react@latest react-dom@latest react-server-dom-webpack@latest
结语
此次漏洞评级为最高危级别,且利用门槛较低(无需认证),请广大开发者务必重视,第一时间排查并升级相关依赖。安全无小事,及时更新是防御零日漏洞最有效的手段。
