React Server Components曝极危远程代码执行漏洞 数百万服务器面临风险
据锐捷网络(301165)消息,近日,React团队披露了React Server Components组件中的一个远程代码执行漏洞(CVE-2025-55182),其CVSS评分高达10分,属于极危级别。该漏洞利用成功率接近100%,攻击者可借此在服务器端执行任意系统命令,对系统安全构成严重威胁。React Server Components技术已被Next.js等主流框架广泛采用,应用于大量电商、SaaS及内容站点。
漏洞概述
漏洞编号为CVE-2025-55182,类型为远程代码执行(RCE),等级高危。它影响React Server Components相关框架和库,如Next.js。漏洞于2025年12月3日被发现,目前漏洞验证代码(POC)已公开。
漏洞影响版本
受影响的具体版本包括:
- Next.js:15.0.0至15.0.4、15.1.0至15.1.8、15.2.0至15.2.5、15.3.0至15.3.5、15.4.0至15.4.7、16.0.0至16.0.6。
- React RSC:19.0.0、19.1.0至19.1.1。
漏洞原理分析
该漏洞源于服务端在反序列化Server Action请求时,未校验模块导出属性的合法性。攻击者可通过操控请求负载,访问原型链上的危险方法(如`vm.runInThisContext`),从而执行任意系统命令。只要应用依赖中包含`vm`、`child_process`或`fs`等常见Node.js模块即可被利用。
修复方案
官方已发布安全补丁,建议用户及时更新至以下安全版本:React Server 19.0.1、19.1.2或19.2.1。也可通过命令`npm install react@19.0.1 react-dom@19.0.1 next@15.0.5`进行升级。
同时,锐捷网络防火墙可提供防护方案。通过将IPS规则库升级至v20251208.1421及以上版本(包含规则13240144、13240145、13240146),即可精准过滤携带该漏洞攻击特征的恶意流量,实现快速防御。其防护优势体现在响应迅速、覆盖全面和部署简便。
0人
