


























近期 React Server Components(RSC)核心架构及使用 App Router 的 Next.js 应用被集中披露高危远程代码执行漏洞(RCE),漏洞编号分别为 CVE-2025-55182 与 CVE-2025-66478。未经身份验证的攻击者可通过特制 HTTP 请求触发漏洞,实现服务器端任意代码执行,进而完全控制目标服务器,对业务数据安全与服务可用性造成致命威胁。目前漏洞细节及 POC 已公开,攻击门槛极低,React、Next.js 开发者需立即开展自查与修复工作。本文将详细拆解漏洞原理、影响范围,并提供分场景的一站式漏洞修复方案,助力快速规避风险。
关键词:CVE-2025-55182、CVE-2025-66478、React Server Components(RSC)、Next.js、远程代码执行漏洞(RCE)、高危漏洞、React 漏洞修复、Next.js 版本升级、前端安全、服务器安全、App Router、npm 依赖升级、安全补丁
React Server Components(RSC)是 React 核心团队推出的新型架构,旨在通过混合渲染模式提升应用性能,广泛应用于各类中大型前端项目。此次 CVE-2025-55182 漏洞的根源在于 React 框架对服务器函数端点接收的请求负载进行解码与反序列化处理时,存在关键安全缺陷——攻击者可构造恶意请求数据,利用该缺陷绕过解析校验,在服务器端执行任意代码。
而关联漏洞 CVE-2025-66478 则专门影响使用 App Router 的 Next.js 应用,其本质是 Next.js 对 React Server Components 相关依赖的集成存在安全适配问题,导致同样面临远程代码执行风险。两个漏洞均无需攻击者获取身份验证权限,攻击路径直接且危害极大,一旦被利用可能导致业务数据泄露、服务瘫痪甚至服务器被劫持。
| 依赖名称 | 受影响版本范围 |
|---|---|
| React | 19.0、19.1.0~19.1.1、19.2.0 |
| React DOM | 19.0、19.1.0~19.1.1、19.2.0 |
| react-server-dom-parcel(npm) | 19.0、19.1.0~19.1.1、19.2.0 |
| react-server-dom-turbopack(npm) | 19.0、19.1.0~19.1.1、19.2.0 |
| react-server-dom-webpack(npm) | 19.0、19.1.0~19.1.1、19.2.0 |
14.3.0-canary.77 ≤ Next.js < 15.0.5
15.1.0 ≤ Next.js < 15.1.9
15.2.0 ≤ Next.js < 15.2.6
15.3.0 ≤ Next.js < 15.3.6
15.4.0 ≤ Next.js < 15.4.8
15.5.0 ≤ Next.js < 15.5.7
16.0.0 ≤ Next.js < 16.0.7
图1:漏洞影响框架及版本分布示意图
(建议替换为:包含React、Next.js核心版本分支,用红色标注受影响版本,绿色标注安全版本,突出“RCE漏洞”“安全补丁”核心标识的图片)
为彻底修复漏洞,官方已发布针对性安全补丁,各依赖的安全升级目标如下:
React:≥19.0.1、≥19.1.2、≥19.2.1
React DOM:≥19.0.1、≥19.1.2、≥19.2.1
react-server-dom-parcel(npm):≥19.0.1、≥19.1.2、≥19.2.1
react-server-dom-turbopack(npm):≥19.0.1、≥19.1.2、≥19.2.1
react-server-dom-webpack(npm):≥19.0.1、≥19.1.2、≥19.2.1
Next.js:≥15.0.5、≥15.1.9、≥15.2.6、≥15.3.6、≥15.4.8、≥15.5.7、≥16.0.7
1. 稳定版用户:根据当前使用的版本系列,通过 npm 依赖升级 命令直接升级至对应安全版本:
# 15.0.x 系列 npm install next@15.0.5 # 15.1.x 系列 npm install next@15.1.9 # 15.2.x 系列 npm install next@15.2.6 # 15.3.x 系列 npm install next@15.3.6 # 15.4.x 系列 npm install next@15.4.8 # 15.5.x 系列 npm install next@15.5.7 # 16.0.x 系列 npm install next@16.0.7
2. Canary 版用户:若使用 14.3.0-canary.77 及以上测试版本,需降级至 14.x 稳定版:
npm install next@14
3. 验证方式:升级后可通过 npm list next 命令查看当前版本是否符合安全要求。
图2:Next.js 版本升级命令对照表
(建议替换为:表格形式呈现版本系列、npm升级命令、验证方式,标注“前端安全”核心提示的图片)
1. React Router 用户(使用不稳定 RSC API):
npm install react@latest npm install react-dom@latest npm install react-server-dom-parcel@latest npm install react-server-dom-webpack@latest npm install @vitejs/plugin-rsc@latest
2. Expo 用户:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
3. Redwood SDK 用户:
npm install rwsdk@latest npm install react@latest react-dom@latest react-server-dom-webpack@latest
详细迁移指南可参考 Redwood 官方文档:https://docs.rwsdk.com/migrating/
4. Waku 用户:
npm install react@latest react-dom@latest react-server-dom-webpack@latest
5. 独立使用 RSC 插件用户:
# @vitejs/plugin-rsc 用户 npm install @vitejs/plugin-rsc@latest # react-server-dom-parcel 用户 npm install react@latest react-dom@latest react-server-dom-parcel@latest # react-server-dom-turbopack 用户 npm install react@latest react-dom@latest react-server-dom-turbopack@latest
升级前必须做好数据备份:包括项目代码、配置文件、数据库数据等,避免 npm 依赖升级 过程中出现依赖冲突导致业务异常。
升级后需进行功能回归测试:重点验证服务器函数、渲染逻辑等核心模块是否正常工作,确保 漏洞修复 不影响业务可用性。
若暂时无法升级:可临时通过 Web 应用防火墙拦截恶意请求(参考下文腾讯云安全解决方案),但仅为过渡方案,最终需完成版本升级。
图3:漏洞修复全流程示意图
(建议替换为:流程图形式呈现“自查版本→备份数据→npm依赖升级→验证版本→功能测试→漏洞闭环”步骤,突出“前端安全”“服务器安全”核心目标的图片)
为进一步降低漏洞攻击风险,腾讯云已推出全方位安全防护方案,覆盖从检测到防护的全链路:
腾讯T-Sec 容器安全:支持容器环境中该漏洞的快速检测,精准识别受影响实例;
腾讯T-Sec 主机安全:实时监测服务器是否存在漏洞暴露风险,提供一键修复建议;
腾讯T-Sec Web应用防火墙:拦截针对漏洞的恶意HTTP请求,阻断攻击路径;
腾讯T-Sec 云防火墙:从网络层防护,限制非法访问,降低漏洞利用概率;
腾讯暴露面管理服务(CTEM):全面扫描业务暴露面,提前发现未修复的漏洞节点。
React 官方漏洞通告:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React GitHub 安全 advisory:https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r
Next.js 官方漏洞通告:https://nextjs.org/blog/CVE-2025-66478
Next.js GitHub 安全 advisory:https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp
此次 React Server Components(RSC) 及 Next.js 高危漏洞危害等级高、影响范围广,且 POC 已公开,攻击者极可能发起批量攻击。建议相关开发者在 24 小时内完成版本自查,按照本文分场景 漏洞修复 指南完成 npm 依赖升级,并结合腾讯云安全产品构建“版本修复+安全防护”双重保障。漏洞修复的核心是升级至官方指定安全版本,切勿依赖临时规避方案。若在修复过程中遇到依赖冲突、功能异常等问题,可参考官方文档或联系技术支持获取帮助,确保业务 前端安全 与 服务器安全 稳定运行。
您阅读本篇文章共花了:
免责声明:本文来自腾讯云,不代表小枫网络的观点和立场,如有侵权请联系本平台处理。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。