惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

N
Netflix TechBlog - Medium
V
Vulnerabilities – Threatpost
Google Online Security Blog
Google Online Security Blog
Hugging Face - Blog
Hugging Face - Blog
L
LINUX DO - 热门话题
云风的 BLOG
云风的 BLOG
P
Proofpoint News Feed
D
Docker
C
Cyber Attacks, Cyber Crime and Cyber Security
MyScale Blog
MyScale Blog
P
Palo Alto Networks Blog
T
Tenable Blog
P
Privacy International News Feed
Google DeepMind News
Google DeepMind News
小众软件
小众软件
Cisco Talos Blog
Cisco Talos Blog
aimingoo的专栏
aimingoo的专栏
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
A
Arctic Wolf
C
Cybersecurity and Infrastructure Security Agency CISA
C
Cisco Blogs
T
Threat Research - Cisco Blogs
NISL@THU
NISL@THU
The Hacker News
The Hacker News
Project Zero
Project Zero
AWS News Blog
AWS News Blog
Simon Willison's Weblog
Simon Willison's Weblog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
T
Threatpost
V
Visual Studio Blog
The GitHub Blog
The GitHub Blog
The Cloudflare Blog
Last Week in AI
Last Week in AI
Jina AI
Jina AI
Cyberwarzone
Cyberwarzone
The Register - Security
The Register - Security
C
CXSECURITY Database RSS Feed - CXSecurity.com
Vercel News
Vercel News
D
Darknet – Hacking Tools, Hacker News & Cyber Security
MongoDB | Blog
MongoDB | Blog
U
Unit 42
Scott Helme
Scott Helme
A
About on SuperTechFans
WordPress大学
WordPress大学
F
Fortinet All Blogs
大猫的无限游戏
大猫的无限游戏
G
GRAHAM CLULEY
Latest news
Latest news
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
S
Schneier on Security

小枫网络

Typecho 1.21 评论区 XSS 漏洞发现与安全提醒 🔥【站长自用推荐!嘉惟云服务器——性能怪兽+安全堡垒】🔥 🔥【HKGserver服务器】冲就完事了!兄弟们看过来!🔥 知乎服务器崩了, 网页打不开了 jsdelivr npm 国内加速CDN节点 小枫拟态UI5.0Pro - 个人主页源码 小枫公益API - 致力于为开发者提供免费、稳定、快速的Web Api服务 一款优雅简约的鼠标跟踪特效 超好看的HTML+CSS登录页
紧急预警!React Server Components 及 Next.js 高危远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)
小枫 · 2025-12-08 · via 小枫网络

近期 React Server Components(RSC)核心架构及使用 App Router 的 Next.js 应用被集中披露高危远程代码执行漏洞(RCE),漏洞编号分别为 CVE-2025-55182 与 CVE-2025-66478。未经身份验证的攻击者可通过特制 HTTP 请求触发漏洞,实现服务器端任意代码执行,进而完全控制目标服务器,对业务数据安全与服务可用性造成致命威胁。目前漏洞细节及 POC 已公开,攻击门槛极低,React、Next.js 开发者需立即开展自查与修复工作。本文将详细拆解漏洞原理、影响范围,并提供分场景的一站式漏洞修复方案,助力快速规避风险。

关键词:CVE-2025-55182、CVE-2025-66478、React Server Components(RSC)、Next.js、远程代码执行漏洞(RCE)、高危漏洞、React 漏洞修复、Next.js 版本升级、前端安全、服务器安全、App Router、npm 依赖升级、安全补丁

一、漏洞核心原理剖析

React Server Components(RSC)是 React 核心团队推出的新型架构,旨在通过混合渲染模式提升应用性能,广泛应用于各类中大型前端项目。此次 CVE-2025-55182 漏洞的根源在于 React 框架对服务器函数端点接收的请求负载进行解码与反序列化处理时,存在关键安全缺陷——攻击者可构造恶意请求数据,利用该缺陷绕过解析校验,在服务器端执行任意代码。

而关联漏洞 CVE-2025-66478 则专门影响使用 App Router 的 Next.js 应用,其本质是 Next.js 对 React Server Components 相关依赖的集成存在安全适配问题,导致同样面临远程代码执行风险。两个漏洞均无需攻击者获取身份验证权限,攻击路径直接且危害极大,一旦被利用可能导致业务数据泄露、服务瘫痪甚至服务器被劫持。

二、漏洞影响范围明细

(一)React 及相关依赖受影响版本

依赖名称受影响版本范围
React19.0、19.1.0~19.1.1、19.2.0
React DOM19.0、19.1.0~19.1.1、19.2.0
react-server-dom-parcel(npm)19.0、19.1.0~19.1.1、19.2.0
react-server-dom-turbopack(npm)19.0、19.1.0~19.1.1、19.2.0
react-server-dom-webpack(npm)19.0、19.1.0~19.1.1、19.2.0

(二)Next.js 受影响版本

  • 14.3.0-canary.77 ≤ Next.js < 15.0.5

  • 15.1.0 ≤ Next.js < 15.1.9

  • 15.2.0 ≤ Next.js < 15.2.6

  • 15.3.0 ≤ Next.js < 15.3.6

  • 15.4.0 ≤ Next.js < 15.4.8

  • 15.5.0 ≤ Next.js < 15.5.7

  • 16.0.0 ≤ Next.js < 16.0.7

图1:漏洞影响框架及版本分布示意图
       (建议替换为:包含React、Next.js核心版本分支,用红色标注受影响版本,绿色标注安全版本,突出“RCE漏洞”“安全补丁”核心标识的图片)

三、安全版本清单(优先升级目标)

为彻底修复漏洞,官方已发布针对性安全补丁,各依赖的安全升级目标如下:

  • React:≥19.0.1、≥19.1.2、≥19.2.1

  • React DOM:≥19.0.1、≥19.1.2、≥19.2.1

  • react-server-dom-parcel(npm):≥19.0.1、≥19.1.2、≥19.2.1

  • react-server-dom-turbopack(npm):≥19.0.1、≥19.1.2、≥19.2.1

  • react-server-dom-webpack(npm):≥19.0.1、≥19.1.2、≥19.2.1

  • Next.js:≥15.0.5、≥15.1.9、≥15.2.6、≥15.3.6、≥15.4.8、≥15.5.7、≥16.0.7

四、分场景修复操作指南

(一)Next.js 用户(最核心受影响群体)

1. 稳定版用户:根据当前使用的版本系列,通过 npm 依赖升级 命令直接升级至对应安全版本:

# 15.0.x 系列
npm install next@15.0.5
# 15.1.x 系列
npm install next@15.1.9
# 15.2.x 系列
npm install next@15.2.6
# 15.3.x 系列
npm install next@15.3.6
# 15.4.x 系列
npm install next@15.4.8
# 15.5.x 系列
npm install next@15.5.7
# 16.0.x 系列
npm install next@16.0.7

2. Canary 版用户:若使用 14.3.0-canary.77 及以上测试版本,需降级至 14.x 稳定版:

npm install next@14

3. 验证方式:升级后可通过 npm list next 命令查看当前版本是否符合安全要求。

图2:Next.js 版本升级命令对照表
       (建议替换为:表格形式呈现版本系列、npm升级命令、验证方式,标注“前端安全”核心提示的图片)

(二)React 生态其他用户

1. React Router 用户(使用不稳定 RSC API):

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

2. Expo 用户:

npm install react@latest react-dom@latest react-server-dom-webpack@latest

3. Redwood SDK 用户:

npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

详细迁移指南可参考 Redwood 官方文档:https://docs.rwsdk.com/migrating/

4. Waku 用户:

npm install react@latest react-dom@latest react-server-dom-webpack@latest

5. 独立使用 RSC 插件用户:

# @vitejs/plugin-rsc 用户
npm install @vitejs/plugin-rsc@latest
# react-server-dom-parcel 用户
npm install react@latest react-dom@latest react-server-dom-parcel@latest
# react-server-dom-turbopack 用户
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

(三)通用注意事项

  1. 升级前必须做好数据备份:包括项目代码、配置文件、数据库数据等,避免 npm 依赖升级 过程中出现依赖冲突导致业务异常。

  2. 升级后需进行功能回归测试:重点验证服务器函数、渲染逻辑等核心模块是否正常工作,确保 漏洞修复 不影响业务可用性。

  3. 若暂时无法升级:可临时通过 Web 应用防火墙拦截恶意请求(参考下文腾讯云安全解决方案),但仅为过渡方案,最终需完成版本升级。

图3:漏洞修复全流程示意图
       (建议替换为:流程图形式呈现“自查版本→备份数据→npm依赖升级→验证版本→功能测试→漏洞闭环”步骤,突出“前端安全”“服务器安全”核心目标的图片)

五、腾讯云安全防护支持

为进一步降低漏洞攻击风险,腾讯云已推出全方位安全防护方案,覆盖从检测到防护的全链路:

  1. 腾讯T-Sec 容器安全:支持容器环境中该漏洞的快速检测,精准识别受影响实例;

  2. 腾讯T-Sec 主机安全:实时监测服务器是否存在漏洞暴露风险,提供一键修复建议;

  3. 腾讯T-Sec Web应用防火墙:拦截针对漏洞的恶意HTTP请求,阻断攻击路径;

  4. 腾讯T-Sec 云防火墙:从网络层防护,限制非法访问,降低漏洞利用概率;

  5. 腾讯暴露面管理服务(CTEM):全面扫描业务暴露面,提前发现未修复的漏洞节点。

六、漏洞参考与延伸阅读

总结

此次 React Server Components(RSC)Next.js 高危漏洞危害等级高、影响范围广,且 POC 已公开,攻击者极可能发起批量攻击。建议相关开发者在 24 小时内完成版本自查,按照本文分场景 漏洞修复 指南完成 npm 依赖升级,并结合腾讯云安全产品构建“版本修复+安全防护”双重保障。漏洞修复的核心是升级至官方指定安全版本,切勿依赖临时规避方案。若在修复过程中遇到依赖冲突、功能异常等问题,可参考官方文档或联系技术支持获取帮助,确保业务 前端安全服务器安全 稳定运行。

 您阅读本篇文章共花了: 


免责声明:本文来自腾讯云,不代表小枫网络的观点和立场,如有侵权请联系本平台处理。