主机帮 深度解读
各位开发者与运维同仁,请注意!前端生态核心框架React于12月3日发布紧急安全公告,其React Server Components(RSC) 特性中被发现一个未经身份验证的远程代码执行(RCE) 高危漏洞。该漏洞已被分配编号 CVE-2025-55182,并获得CVSS v3.1 10.0分(最高严重等级)。攻击者无需任何身份验证即可远程在服务器上执行任意代码,危害极大。
漏洞详情与影响范围
- 漏洞根源:由安全研究员Lachlan Davidson于11月29日报告。问题存在于React对发送至React Server Function端点的请求负载进行反序列化的过程中。攻击者可以构造一个特殊的恶意HTTP请求,当该请求被服务器端React反序列化时,即可触发远程代码执行。
- 关键点:即使您的应用程序没有主动创建或使用任何React Server Function端点,只要应用环境支持React Server Components(RSC),就可能暴露此攻击面。
- 受影响版本:
- React
19.0 - React
19.1.0 - React
19.1.1 - React
19.2.0
- React
- 涉及的主流框架与工具:如果您使用以下支持RSC的流行框架或构建工具,且它们引用了上述有漏洞的React包,则同样受到影响:
- Next.js
- React Router(当使用其RSC功能时)
- Waku
- Parcel (
@parcel/rsc) - Vite (
@vitejs/plugin-rsc) - RWSDK
官方修复方案(立即行动)
React团队已在以下版本中修复了此漏洞:
- React
19.0.1 - React
19.1.2 - React
19.2.1
【站长建议操作步骤】
- 紧急升级:请立即检查您的项目
package.json中的React依赖版本,并升级至对应的已修复版本(19.0.1、19.1.2或19.2.1)。# 使用 npm 升级示例 npm update react react-dom # 或使用 yarn yarn upgrade react react-dom --latest升级后请彻底清除构建缓存并重新启动开发服务器或生产服务。 - 验证依赖树:运行
npm list react或yarn why react确认所有嵌套依赖引入的React包均已升级到安全版本。 - 框架特定更新:如果您使用前述的Next.js等框架,请同步关注其官方公告,并升级框架至包含已修复React版本的新版。
例外情况(不受影响)
仅当您的应用满足以下所有条件时,可确认不受此漏洞影响:
- 您的React代码完全在客户端(浏览器)运行,不涉及任何服务器端渲染(SSR)。
- 您没有使用任何支持React Server Components的框架、打包器(如Webpack、Vite的RSC插件)或构建工具。
总结与建议
此漏洞利用门槛相对较低且危害极大,属于“高危”级别。强烈建议所有使用React 19.x版本且涉及服务端渲染或React Server Components特性的项目立即安排升级。
对于生产环境,应在测试环境充分验证升级后应用稳定性,然后尽快部署安全版本。同时,建议审查服务器日志,关注是否有异常请求尝试访问RSC相关端点。
我们将持续关注此漏洞的动态及任何可能出现的变种利用方式。安全加固,刻不容缓!
参考链接:
- React官方安全公告: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
主机帮提醒:筑牢服务器安全防线,从及时修补关键漏洞开始。
