研究人员在查看上周React服务器组件(Server Components)关键漏洞CVE-2025-55182的修补是否可能被绕过时,又披露3项新弱点,包含2个DoS漏洞CVE-2025-55184与CVE-2025-67779,以及1个源码暴露漏洞CVE-2025-55183。React团队表示,新漏洞不涉及远程程序代码执行,上周用于缓解React2Shell的修补仍可阻挡远程程序代码执行型攻击,但先前发布的修补不完整,已升级的用户仍需再升级到更新的修补版本。
受影响组件为react-server-dom-webpack、react-server-dom-parcel与react-server-dom-turbopack,版本涵盖19.0.0至19.2.2。React也提醒,要是为了应对上周漏洞已升级到19.0.2、19.1.3或19.2.2,这些版本的修补不完整仍可能面临风险,建议再更新至19.0.3、19.1.4或19.2.3等版本。
在DoS漏洞CVE-2025-55184与CVE-2025-67779方面,攻击者可对任何React Server Functions端点送出特定HTTP请求,服务器在反串行化时可能触发无限循环,导致程序卡住并持续消耗CPU,进而让服务无法正常回应。React并提醒,即使应用程序本身未实例任何React Server Functions端点,只要部署环境支持React Server Components就可能受到影响。
而源码泄露部分,前提是应用程序存在可被触发的Server Function,且该函数会将参数以字符串形式输出或回传,如此恶意请求便可能导致服务器回传Server Function的源码。官方指出,风险主要是存在于源码中的秘密,像是直接写死的密钥或凭证。以process.env.SECRET等方式在执行阶段注入的秘密,则不在本次影响范围内。
React也再次界定受影响范围,要是React程序代码不在服务器端执行,或未使用支持React Server Components的框架、打包工具或插件,则不受影响,官方点名Next、React Router等生态系项目可能因相依关系而被波及,并表示已与部分托管服务供应商合作部署暂时性缓解措施,不过官方强调,不应长期依赖暂时性措施,开发者仍需升级至已修补版本。
