重大漏洞预警:CVE-2025-55182(CVSS 10.0)影响 React Server Components

讨论分享
1

2025-12-05 Update
已经出现在野利用了。有使用相关技术的服务要尽快更新。

image
image1160×347 39.7 KB

CVE-2025-55182 是一个影响 React Server Components(RSC)的严重远程代码执行(RCE)漏洞,目前已被评为 CVSS 10.0 的最高危险等级。

该漏洞允许攻击者在未认证的情况下,通过发送特制的 HTTP 请求触发反序列化缺陷,直接在服务器上执行任意代码。这对使用 RSC 的应用构成极大的安全威胁。

受影响范围:

Affected Component Affected Versions
react-server-dom-parcel 19.0, 19.1.0, 19.1.1, 19.2.0
react-server-dom-turbopack 19.0, 19.1.0, 19.1.1, 19.2.0
react-server-dom-webpack 19.0, 19.1.0, 19.1.1, 19.2.0
Affected Next.js versions
15.0.4 and below
15.1.8 and below
15.2.5 and below
15.3.5 and below
15.4.7 and below
15.5.6 and below
16.0.6 and below
14.3.0-canary.77 and later releases

已修复版本:

React Server Component Fixed Versions
react-server-dom-parcel 19.0.1, 19.1.2, 19.2.1
react-server-dom-turbopack 19.0.1, 19.1.2, 19.2.1
react-server-dom-webpack 19.0.1, 19.1.2, 19.2.1
Fixed Next.js versions
15.0.5
15.1.9
15.2.6
15.3.6
15.4.8
15.5.7
16.0.7
2

吃瓜吃瓜,谁中招了

3

Are we still vulnerable if our app doesn’t use React Server Functions endpoints?
如果我们的应用程序不使用 React Server Functions 端点,我们还会受到攻击吗?

Potentially. According to the React Team, even if React Server Functions are not in-use, the vulnerability is still exploitable if React Server Components are supported.
潜在。根据 React 团队的说法,即使 React 服务器函数 未被使用,如果支持 React 服务器组件,该漏洞仍可被利用。

这么看来的话,这漏洞影响面挺大了,不知道修复后会不会公布更多细节或 PoC,还是挺好奇到底是什么原因导致的这个漏洞。

4

用了 react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack 组件的需要排查。

基本上 用了 react 和 next.js 就自带这些包。