-
核弹级,React 爆出满分漏洞!
昨天爆出来一个严重漏洞,安全圈已刷屏。
漏洞达到CVSS最高级别(10.0分),攻击者无需认证、无需登录、无需交互。仅需发送一个精心构造的POST请求,即可在服务器上直接执行任意代码 。
漏洞来自于React Server Components(RSC),官方已确认。
React Server Components是 React 团队推出的新一代服务端渲染方案,核心目标是在不牺牲客户端交互体验的前提下,最大化利用服务端能力,如直接访问数据库、避免敏感数据暴露,同时优化应用的性能、体积和加载速度。已经被Next.js等主流框架采用,广泛应用于电商、新闻、内容网站。
以下是RSC典型使用场景:
- 内容型/数据密集型场景,如电商详情页、后台管理系统、资讯门户、文档平台、数据仪表盘等;
- 需保护敏感逻辑/数据的场景,如支付页面、用户隐私数据展示、后台权限校验、涉及密钥/算法的业务
- 大型交互型应用场景,如社交平台(朋友圈 + 点赞评论)、电商购物车
- 低性能设备/弱网环境适配场景,如移动端 H5、物联网设备端页面
漏洞危害:
攻击者无需认证、无需登录、无需交互,仅需向公开服务器端点发送一个精心构造的POST 请求,即可在服务器上直接执行任意代码 。
可能导致:
- 服务器完全失陷(反向 Shell)
- 数据库凭证、环境变量、密钥全部泄露
- 内网横向移动、进一步攻击其他系统
- 数据被加密勒索或直接删除
- 业务长时间中断、声誉严重受损
漏洞原理:
React Server Components(RSC)在反序列化客户端提交的 “Flight” 协议数据时存在不安全的反序列化缺陷,导致攻击者可注入并执行任意 JavaScript 代码。
根据漏洞原理,以下情况不受影响:
- 只是纯前端页面
- 使用React Server Components(RSC)
- 前后端分离
受影响范围
项目 受影响版本 已修复版本 react-server-dom-webpack 19.0, 19.1.0, 19.1.1, 19.2.0 19.0.1, 19.1.2, 19.2.1 react-server-dom-parcel 19.0, 19.1.0, 19.1.1, 19.2.0 19.0.1, 19.1.2, 19.2.1 react-server-dom-turbopack 9.0, 19.1.0, 19.1.1, 19.2.0 19.0.1, 19.1.2, 19.2.1 Next.js(使用 App Router) ≥14.3.0-canary.77, 全部 15.x, 全部 16.x 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5 其他捆绑 RSC 的库 Vite RSC 插件、Parcel RSC 插件、React Router RSC 预览版、RedwoodJS、Waku等 升级至各自最新版本 解决方案:
官方已发布安全补丁,请及时更新至最新版本:
# React 项目
npm update react react-dom react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack
# Next.js 项目(推荐直接升级到最新稳定版)
npm update next@latest
# 或手动指定安全版本,例如:
npm install next@16.0.7 # 或 15.5.7 等
官方升级方法:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
漏洞验证POC:
https://github.com/ejpir/CVE-2025-55182-poc
建议立刻自查,并进行修复!
云和安全管理服务专家
