惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Hacker News - Newest:
Hacker News - Newest: "LLM"
S
Security Affairs
PCI Perspectives
PCI Perspectives
Google Online Security Blog
Google Online Security Blog
W
WeLiveSecurity
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Recent Commits to openclaw:main
Recent Commits to openclaw:main
P
Privacy & Cybersecurity Law Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
S
Security @ Cisco Blogs
Security Archives - TechRepublic
Security Archives - TechRepublic
Cyberwarzone
Cyberwarzone
L
Lohrmann on Cybersecurity
TaoSecurity Blog
TaoSecurity Blog
V
Visual Studio Blog
博客园 - 聂微东
Scott Helme
Scott Helme
博客园 - 【当耐特】
K
Kaspersky official blog
Security Latest
Security Latest
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
MyScale Blog
MyScale Blog
Schneier on Security
Schneier on Security
WordPress大学
WordPress大学
博客园 - 叶小钗
C
Check Point Blog
V2EX - 技术
V2EX - 技术
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
博客园 - Franky
T
Tor Project blog
Apple Machine Learning Research
Apple Machine Learning Research
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
腾讯CDC
雷峰网
雷峰网
博客园_首页
美团技术团队
Y
Y Combinator Blog
C
CERT Recently Published Vulnerability Notes
AWS News Blog
AWS News Blog
月光博客
月光博客
N
Netflix TechBlog - Medium
Last Week in AI
Last Week in AI
Recent Announcements
Recent Announcements
Google DeepMind News
Google DeepMind News
Help Net Security
Help Net Security
P
Proofpoint News Feed
MongoDB | Blog
MongoDB | Blog
C
Cybersecurity and Infrastructure Security Agency CISA

清竹志-(原清竹茶馆)

读完 DeepSeek-V4 技术报告:这次最值得看的,不是“更大”,而是“更省” Codex Skills 不是 Prompt 的升级版,而是写给 AI 的岗位 SOP Vercel收购NuxtLabs,我和尤雨溪一样心情复杂 免费平替Claude-Code:Google Gemini CLI深度解析与实践指南 Newsletter逆天福利:三种方式获取全年免费 AI/SaaS 工具包(含团体购买兑换防坑指南) Google发布Agent2Agent(A2A)协议:开启协作式 AI 代理的新时代 颠覆传统搜索!全球AI搜索工具正在攻城略地 激战“后DeepSeek时代”:全球大模型开启“地狱级”内卷模式 改名公告:清竹茶馆的新篇章-清竹志 【2023年终总结】与逝去的年华道个别 【前端工程化】Nextjs项目工程化最佳实践总结(献给2023-1024的礼物) 【2022年终总结】此去经年,烟消雾散,晨曦微露 【1024献礼】生成可掌握钱包和揭秘NFT和token被盗案例以及如何预防被盗 【2021年终总结】刚好遇见你,留下百年的期许 【Swift】Swift学习计划与资料 【前端工程化】Vite关于Vue3/React项目工程化总结(献给2021-1024的礼物) 【图解算法】前端思维学习图解算法数据结构笔记(一)之算法复杂度 【三亚攻略】2021年三亚团建攻略 【前端工具】前端工具函数合集 【2020年终总结】如果这一年你很健康,那便是最好的一年!
【译】React 服务器组件中的关键安全漏洞
vadxq · 2025-12-04 · via 清竹志-(原清竹茶馆)

重要提醒:React 服务器组件曝光了一枚未认证的远程代码执行(RCE)漏洞,只要项目启用了 RSC 支持,就可能被远程掌控。建议所有依赖 React 19 的项目立即排查并升级。

本文根据 React 团队于 2025 年 12 月 3 日发布的「Critical Security Vulnerability in React Server Components」翻译整理。

🚨 漏洞概述

  • 12 月 3 日,React 官方团队发布最高级别安全通告:React 服务器组件(RSC)存在未认证的远程代码执行漏洞。
  • 漏洞已被登记为 CVE-2025-55182,CVSS 得分 10.0(危害最高级别)。
  • 攻击者无需通过身份验证,只要能向 Server Function 端点发送恶意 HTTP 请求,就可能在服务器上执行任意代码,直接接管你的后端环境。
  • 即便你尚未实现任何 React Server Function,只要你的框架或构建工具启用了 RSC 能力,就可能处于风险之中。

⚠️ 你是否受到影响?

受影响的 React 版本

  • 19.0
  • 19.1.0
  • 19.1.1
  • 19.2.0

受影响的框架与工具

  • Next.js
  • React Router
  • Waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

以下情况暂不受影响

✅ 完全运行在客户端、没有任何服务端代码的 React 应用
✅ 没有使用支持 React 服务器组件的框架或打包工具

特别注意:只要支持 React 服务器组件,即便没有配置任何 Server Function 端点,也可能遭到攻击!

🛡️ 紧急修复方案

  • React 团队已在 19.0.119.1.219.2.1 中修复,请立即升级到对应分支的安全版本。
  • 若你使用的是 canary 版本(如 Next.js 14.3.0-canary.77+),请降级到最新稳定版,再等待后续补丁。
  • 一些托管服务商已在 React 团队指导下部署临时缓解,但请勿依赖临时方案,必须升级依赖。

基础升级命令示例

1
2
3
npm install react@19.2.1 react-dom@19.2.1

yarn add react@19.2.1 react-dom@19.2.1

📅 漏洞时间线

  • 11 月 29 日:安全研究员 Lachlan Davidson 通过 Meta Bug Bounty 报告漏洞。
  • 11 月 30 日:Meta 安全团队确认漏洞,并与 React 团队展开修复。
  • 12 月 1 日:修复方案完成,同时与托管服务商和生态项目联动部署缓解措施。
  • 12 月 3 日:补丁发布到 npm,漏洞以 CVE-2025-55182 正式披露。

💡 技术背景

React Server Functions 允许客户端通过 HTTP 请求调用运行在服务器上的函数,React 会负责序列化与反序列化过程。漏洞恰恰出在服务端解码载荷的环节:

  1. 客户端发起的函数调用被转换为 HTTP 请求。
  2. 服务端解析载荷并执行对应的函数。
  3. 攻击者可以伪造恶意载荷,诱使 React 在反序列化过程中执行任意代码。

在官方确认补丁完全部署之前,更多技术细节将保持保密,以免漏洞被大规模利用。

🎯 行动建议

  1. 立即确认项目所用的 React 与框架版本。
  2. 马上升级 React 核心依赖以及框架/打包器提供的 RSC 支持包。
  3. 同步通知团队、合作伙伴及客户,确保所有部署都得到修复。
  4. 监控服务器日志与入侵检测,关注是否存在可疑请求。
  5. 持续关注官方公告(React、Next.js、Expo、Redwood 等),获取最新补丁状态。

升级指南(框架 & 构建工具)

Next.js

1
2
3
4
5
6
7
npm install next@15.0.5   
npm install next@15.1.9   
npm install next@15.2.6   
npm install next@15.3.6   
npm install next@15.4.8   
npm install next@15.5.7   
npm install next@16.0.7

若使用 14.3.0-canary.77 或更高的 canary,请降级至最新 14.x 稳定版:

1
npm install next@14

详见 Next.js 安全公告

React Router(不稳定 RSC API)

1
2
3
4
5
npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo

1
npm install react@latest react-dom@latest react-server-dom-webpack@latest

Redwood SDK

1
2
npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

更多迁移说明见 Redwood 文档

Waku

1
npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

详情参考 Waku 官方讨论

@vitejs/plugin-rsc

1
npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

react-server-dom-parcel

1
npm install react@latest react-dom@latest react-server-dom-parcel@latest

react-server-dom-turbopack

1
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

react-server-dom-webpack

1
npm install react@latest react-dom@latest react-server-dom-webpack@latest

🙏 致谢

感谢安全研究员 Lachlan Davidson 发现并报告漏洞,也向在补丁发布期间提供临时缓解与验证的托管服务商、框架团队和社区贡献者致以谢意。

📢 重要提醒

安全无小事! 该漏洞的严重性不容忽视,请务必在今天完成升级,保障用户数据与业务连续性。

转发给你的技术团队,让更多开发者看到这条重要信息!

此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。