惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V
Vulnerabilities – Threatpost
U
Unit 42
F
Fortinet All Blogs
aimingoo的专栏
aimingoo的专栏
P
Proofpoint News Feed
F
Full Disclosure
月光博客
月光博客
Engineering at Meta
Engineering at Meta
博客园_首页
The Register - Security
The Register - Security
G
Google Developers Blog
The Cloudflare Blog
博客园 - Franky
K
Kaspersky official blog
A
Arctic Wolf
Scott Helme
Scott Helme
C
Cisco Blogs
Hugging Face - Blog
Hugging Face - Blog
C
Check Point Blog
NISL@THU
NISL@THU
AI
AI
D
DataBreaches.Net
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Stack Overflow Blog
Stack Overflow Blog
Project Zero
Project Zero
The GitHub Blog
The GitHub Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
量子位
Vercel News
Vercel News
T
Tor Project blog
P
Privacy International News Feed
D
Docker
I
Intezer
L
LangChain Blog
P
Proofpoint News Feed
Security Latest
Security Latest
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Threatpost
博客园 - 聂微东
AWS News Blog
AWS News Blog
Martin Fowler
Martin Fowler
P
Privacy & Cybersecurity Law Blog
V
V2EX
Last Week in AI
Last Week in AI
C
Cybersecurity and Infrastructure Security Agency CISA
The Hacker News
The Hacker News
T
Tenable Blog
Blog — PlanetScale
Blog — PlanetScale
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tailwind CSS Blog

小枫网络

Typecho 1.21 评论区 XSS 漏洞发现与安全提醒 🔥【站长自用推荐!嘉惟云服务器——性能怪兽+安全堡垒】🔥 🔥【HKGserver服务器】冲就完事了!兄弟们看过来!🔥 知乎服务器崩了, 网页打不开了 jsdelivr npm 国内加速CDN节点 小枫拟态UI5.0Pro - 个人主页源码 小枫公益API - 致力于为开发者提供免费、稳定、快速的Web Api服务 一款优雅简约的鼠标跟踪特效 超好看的HTML+CSS登录页
紧急预警!React Server Components 及 Next.js 高危远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)
小枫 · 2025-12-08 · via 小枫网络

近期 React Server Components(RSC)核心架构及使用 App Router 的 Next.js 应用被集中披露高危远程代码执行漏洞(RCE),漏洞编号分别为 CVE-2025-55182 与 CVE-2025-66478。未经身份验证的攻击者可通过特制 HTTP 请求触发漏洞,实现服务器端任意代码执行,进而完全控制目标服务器,对业务数据安全与服务可用性造成致命威胁。目前漏洞细节及 POC 已公开,攻击门槛极低,React、Next.js 开发者需立即开展自查与修复工作。本文将详细拆解漏洞原理、影响范围,并提供分场景的一站式漏洞修复方案,助力快速规避风险。

关键词:CVE-2025-55182、CVE-2025-66478、React Server Components(RSC)、Next.js、远程代码执行漏洞(RCE)、高危漏洞、React 漏洞修复、Next.js 版本升级、前端安全、服务器安全、App Router、npm 依赖升级、安全补丁

一、漏洞核心原理剖析

React Server Components(RSC)是 React 核心团队推出的新型架构,旨在通过混合渲染模式提升应用性能,广泛应用于各类中大型前端项目。此次 CVE-2025-55182 漏洞的根源在于 React 框架对服务器函数端点接收的请求负载进行解码与反序列化处理时,存在关键安全缺陷——攻击者可构造恶意请求数据,利用该缺陷绕过解析校验,在服务器端执行任意代码。

而关联漏洞 CVE-2025-66478 则专门影响使用 App Router 的 Next.js 应用,其本质是 Next.js 对 React Server Components 相关依赖的集成存在安全适配问题,导致同样面临远程代码执行风险。两个漏洞均无需攻击者获取身份验证权限,攻击路径直接且危害极大,一旦被利用可能导致业务数据泄露、服务瘫痪甚至服务器被劫持。

二、漏洞影响范围明细

(一)React 及相关依赖受影响版本

依赖名称受影响版本范围
React19.0、19.1.0~19.1.1、19.2.0
React DOM19.0、19.1.0~19.1.1、19.2.0
react-server-dom-parcel(npm)19.0、19.1.0~19.1.1、19.2.0
react-server-dom-turbopack(npm)19.0、19.1.0~19.1.1、19.2.0
react-server-dom-webpack(npm)19.0、19.1.0~19.1.1、19.2.0

(二)Next.js 受影响版本

  • 14.3.0-canary.77 ≤ Next.js < 15.0.5

  • 15.1.0 ≤ Next.js < 15.1.9

  • 15.2.0 ≤ Next.js < 15.2.6

  • 15.3.0 ≤ Next.js < 15.3.6

  • 15.4.0 ≤ Next.js < 15.4.8

  • 15.5.0 ≤ Next.js < 15.5.7

  • 16.0.0 ≤ Next.js < 16.0.7

图1:漏洞影响框架及版本分布示意图
       (建议替换为:包含React、Next.js核心版本分支,用红色标注受影响版本,绿色标注安全版本,突出“RCE漏洞”“安全补丁”核心标识的图片)

三、安全版本清单(优先升级目标)

为彻底修复漏洞,官方已发布针对性安全补丁,各依赖的安全升级目标如下:

  • React:≥19.0.1、≥19.1.2、≥19.2.1

  • React DOM:≥19.0.1、≥19.1.2、≥19.2.1

  • react-server-dom-parcel(npm):≥19.0.1、≥19.1.2、≥19.2.1

  • react-server-dom-turbopack(npm):≥19.0.1、≥19.1.2、≥19.2.1

  • react-server-dom-webpack(npm):≥19.0.1、≥19.1.2、≥19.2.1

  • Next.js:≥15.0.5、≥15.1.9、≥15.2.6、≥15.3.6、≥15.4.8、≥15.5.7、≥16.0.7

四、分场景修复操作指南

(一)Next.js 用户(最核心受影响群体)

1. 稳定版用户:根据当前使用的版本系列,通过 npm 依赖升级 命令直接升级至对应安全版本:

# 15.0.x 系列
npm install next@15.0.5
# 15.1.x 系列
npm install next@15.1.9
# 15.2.x 系列
npm install next@15.2.6
# 15.3.x 系列
npm install next@15.3.6
# 15.4.x 系列
npm install next@15.4.8
# 15.5.x 系列
npm install next@15.5.7
# 16.0.x 系列
npm install next@16.0.7

2. Canary 版用户:若使用 14.3.0-canary.77 及以上测试版本,需降级至 14.x 稳定版:

npm install next@14

3. 验证方式:升级后可通过 npm list next 命令查看当前版本是否符合安全要求。

图2:Next.js 版本升级命令对照表
       (建议替换为:表格形式呈现版本系列、npm升级命令、验证方式,标注“前端安全”核心提示的图片)

(二)React 生态其他用户

1. React Router 用户(使用不稳定 RSC API):

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

2. Expo 用户:

npm install react@latest react-dom@latest react-server-dom-webpack@latest

3. Redwood SDK 用户:

npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

详细迁移指南可参考 Redwood 官方文档:https://docs.rwsdk.com/migrating/

4. Waku 用户:

npm install react@latest react-dom@latest react-server-dom-webpack@latest

5. 独立使用 RSC 插件用户:

# @vitejs/plugin-rsc 用户
npm install @vitejs/plugin-rsc@latest
# react-server-dom-parcel 用户
npm install react@latest react-dom@latest react-server-dom-parcel@latest
# react-server-dom-turbopack 用户
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

(三)通用注意事项

  1. 升级前必须做好数据备份:包括项目代码、配置文件、数据库数据等,避免 npm 依赖升级 过程中出现依赖冲突导致业务异常。

  2. 升级后需进行功能回归测试:重点验证服务器函数、渲染逻辑等核心模块是否正常工作,确保 漏洞修复 不影响业务可用性。

  3. 若暂时无法升级:可临时通过 Web 应用防火墙拦截恶意请求(参考下文腾讯云安全解决方案),但仅为过渡方案,最终需完成版本升级。

图3:漏洞修复全流程示意图
       (建议替换为:流程图形式呈现“自查版本→备份数据→npm依赖升级→验证版本→功能测试→漏洞闭环”步骤,突出“前端安全”“服务器安全”核心目标的图片)

五、腾讯云安全防护支持

为进一步降低漏洞攻击风险,腾讯云已推出全方位安全防护方案,覆盖从检测到防护的全链路:

  1. 腾讯T-Sec 容器安全:支持容器环境中该漏洞的快速检测,精准识别受影响实例;

  2. 腾讯T-Sec 主机安全:实时监测服务器是否存在漏洞暴露风险,提供一键修复建议;

  3. 腾讯T-Sec Web应用防火墙:拦截针对漏洞的恶意HTTP请求,阻断攻击路径;

  4. 腾讯T-Sec 云防火墙:从网络层防护,限制非法访问,降低漏洞利用概率;

  5. 腾讯暴露面管理服务(CTEM):全面扫描业务暴露面,提前发现未修复的漏洞节点。

六、漏洞参考与延伸阅读

总结

此次 React Server Components(RSC)Next.js 高危漏洞危害等级高、影响范围广,且 POC 已公开,攻击者极可能发起批量攻击。建议相关开发者在 24 小时内完成版本自查,按照本文分场景 漏洞修复 指南完成 npm 依赖升级,并结合腾讯云安全产品构建“版本修复+安全防护”双重保障。漏洞修复的核心是升级至官方指定安全版本,切勿依赖临时规避方案。若在修复过程中遇到依赖冲突、功能异常等问题,可参考官方文档或联系技术支持获取帮助,确保业务 前端安全服务器安全 稳定运行。

 您阅读本篇文章共花了: 


免责声明:本文来自腾讯云,不代表小枫网络的观点和立场,如有侵权请联系本平台处理。