React/Next.js 远程命令执行漏洞(CVE-2025-55182、CVE-2025-66478)预警
1、基本情况
React 是一个用于构建用户界面的 JavaScript 库,由 Facebook开发和维护。它基于组件化的开发模式,通过声明式编程简化了界面的构建和更新。React 通过虚拟 DOM 提升渲染性能,确保最小化对真实 DOM 的操作,优化了应用的响应速度。它支持单向数据流,提升了应用的可预测性和可维护性。React 可与其他库或框架一起使用,常见的组合包括 React Router 用于路由管理和 Redux 用于状态管理。
React 适用于构建现代 Web 和移动端应用,广泛应用于前端开发领域。
近日,监测发现 React 组件存在远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478),该漏洞对 React 19 版本及基于该版本的相关框架均构成威胁,其中 Next.js 已对应产生衍生漏洞(CVE-2025-66478),该漏洞是由于 React 在处理客户端发送的请求时,反序列化机制存在缺陷。React 将客户端请求转为 HTTP 请求并转发至服务器,之后在服务器端将 HTTP 请求反序列化为函数调用。攻击者可通过构造恶意 HTTP 请求,利用该反序列化缺陷,在服务器端执行任意代码,从而触发远程代码执行风险。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack = 19.0
⚫ react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack = 19.1.0
⚫ react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack = 19.1.1
⚫ react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack = 19.2.0
其他受影响框架和打包程序
⚫ Next.js <= 15.0.0
⚫ React Router 不稳定的 RSC API 版本
⚫ Expo 所有包含 react-server-dom-webpack 版本
⚫ Redwood SDK:rwsdk < 1.0.0-alpha.0
⚫ Waku 所有包含 react-server-dom-webpack 版本@vitejs/plugin-rsc 所有使用不安全版本的插件
3、处置建议
官方已发布安全补丁,请及时升级至最新版本。
下载地址:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
4、参考链接
1) https://react.dev/blog/2025/12/03/critical-securityvulnerability-in-react-server-components/
2) https://www.cve.org/CVERecord?id=CVE-2025-55182