规则更新核心摘要
为应对近期爆发的行业级高危漏洞威胁链,百度云防护WAF已于 2025年12月5日 紧急上线专项防护规则。本次规则重点针对 Next.js 15.x 及 16.x 版本 中因依赖关系而衍生的远程代码执行(RCE)风险,该风险是React核心漏洞 CVE-2025-55182 在流行框架中的直接延伸。接入百度云WAF的用户已自动获得针对此类攻击的虚拟补丁防护。
漏洞深度剖析:从React到Next.js的攻击链
本次防护的并非一个新漏洞,而是 CVE-2025-55182 在Next.js生态中的具体、高危的攻击利用场景。
-
根源回顾:React 19.x 版本的
react-server-dom-*服务器端组件包中存在反序列化漏洞,允许攻击者通过恶意HTTP请求在服务器上执行任意代码(CVSS 10.0)。 -
框架层影响:Next.js 15.x 和 16.x 版本中默认的App Router,深度依赖于上述存在缺陷的React服务器端DOM包。这意味着,即使开发者未直接使用React Server Components功能,但只要项目基于App Router构建,攻击面便已存在。
-
攻击路径:攻击者可以构造指向Next.js服务器端组件(Server Components)或服务器动作(Server Actions)的恶意请求。当Next.js处理这些请求时,会触发底层React包的反序列化漏洞,从而导致在Next.js应用服务器上实现远程代码执行(RCE),完全接管服务器。
影响范围与紧迫性
-
受影响版本:使用 App Router 的 Next.js 15.0.0 至 15.x.x 以及 16.0.0 至 16.x.x 版本。
-
风险等级:高危(High)。此漏洞利用门槛相对较低,且Next.js作为头部框架,应用范围极广,导致潜在受影响资产数量庞大。
-
现状:Next.js团队已发布更新,修复了相关依赖。但大量线上业务存在升级延迟,目前正处于高危窗口期。
百度云防护WAF防护机制
针对此条明确的攻击链,百度云WAF更新规则能够实时检测并拦截恶意流量:
-
特征检测:深度分析HTTP请求体与结构,识别利用React服务器端反序列化漏洞的恶意Payload特征。
-
协议异常检测:监控对Next.js特定端点(如RSC、Server Actions)的异常请求模式。
-
虚拟补丁:在用户完成Next.js应用升级前,于网络边界层面提供即时防护,有效阻断利用此漏洞的扫描、渗透与攻击行为。
站长紧急行动指南
WAF是重要的外部防线,但根本解决仍需修复应用本身。请立即按以下步骤操作:
第一步:验证与升级(根本解决)
-
验证版本:检查您项目的
package.json,确认Next.js及React版本。 -
升级Next.js:立即将Next.js升级至已修复该问题的安全版本(请查看Next.js官方公告获取确切版本号,通常为
15.x.x或16.x.x的最新补丁版本)。
# 使用 npm 升级示例 npm update next react react-dom # 或使用 yarn yarn upgrade next react react-dom --latest
-
验证依赖树:确保项目中所有React相关包(
react,react-dom,react-server-dom-webpack等)均已升级至安全版本。
第二步:启用与监控WAF防护
-
确认规则生效:登录百度云防护WAF控制台,确保规则库为最新。
-
关注防护日志:在WAF日志中筛选与 CVE-2025-55182 或 Next.js RCE 相关的拦截记录,了解是否有攻击尝试。
第三步:纵深防御建议
-
最小权限原则:运行Next.js应用的服务器账户应遵循最小权限原则,降低即使被攻破后的影响范围。
-
入侵检测:在服务器层面部署HIDS(主机入侵检测系统),监控异常进程创建、文件写入等行为。
-
备份与演练:确保具备可快速恢复的备份,并演练应急响应流程。
总结
本次Next.js安全风险是React高危漏洞在技术栈依赖链中的典型“传导”案例。百度云防护WAF的快速响应,为众多企业提供了修复漏洞的宝贵时间窗口。
核心安全提醒:
现代应用的安全已变为“供应链安全”。 一个底层核心库的漏洞,会迅速波及整个上层生态。建立对核心依赖(如React、Next.js)的安全监控与快速升级能力,已成为运维与开发团队的必备技能。
请所有使用受影响Next.js版本的用户,结合 “立即升级修复” 与 “WAF外部防护” 双层策略,确保业务安全无虞。
(主机帮将持续追踪前沿漏洞动态,为您提供可落地的防御方案。建议订阅我们的博客或安全通告服务,获取第一时间预警。)
