React团队公开React 19服务器端组件(Server Components)出现未经验证远程程序代码执行漏洞,编号CVE-2025-55182,官方评为CVSS10分的最高危险等级。该漏洞来自React服务器端组件所使用的Flight通信协议,牵连React19生态系的多项框架,其中以Next.js最受关注,Next.js则以CVE-2025-66478关注同一个问题。
React说明,这是一个发生在服务器端解码RSC请求时的不安全反串行化逻辑错误。当攻击者送出特定的HTTP请求到服务器函数端点,React在解码Flight负载时要是未正确检查结构,就可能把攻击内容当成程序对象处理,使攻击者在服务器上执行特权JavaScript程序代码。安全厂商Wiz研究人员提到,这种攻击不需要任何身份验证,只靠精心设计的请求就能触发,而且在测试中的成功率接近百分之百,且影响到多个框架的默认设置。
受影响的组件包括react-server-dom-webpack、react-server-dom-parcel与react-server-dom-turbopack等,在19.0、19.1.0、19.1.1与19.2.0版本中都存在风险,修补已经随React19.0.1、19.1.2与19.2.1发布。不过,如果React程序完全没有在服务器上执行,或没有搭配支持RSC的框架与打包工具,则不受此次漏洞影响。
Next.js则因AppRouter默认采用RSC而被直接点名,影响版本包含15.x与16.x,以及14.3.0-canary.77及之后的Canary版本。React与Next.js团队已提供对应版本的更新路线,建议用户在原有主版本线上升级到标示为安全的版号。Wiz研究人员提到,以create-next-app照默认设置构建的Next.js应用,在未更新前都可能被攻击。
不只限于Next.js,任何打包React服务器端组件实例的框架或工具,皆受影响,React官方还点名的项目还有React Router RSC预览功能、Waku、Parcel RSC插件、Vite RSC插件以及RedwoodSDK等。
Wiz以自家扫描数据评估,约有39%的云计算环境出现受CVE-2025-55182或CVE-2025-66478影响的React或Next.js实例,显示问题并非少数项目才会遇到,而是已经扩散到相当比例的实际部署之中。
React公告表示,已与多家托管与云计算服务企业合作,针对已知攻击类型在边界布下暂时性防御。不过官方同时强调,这些虽然可以降低部分风险,却不能视为完整解决方案,真正的修补仍然是更新到包含修正的React与相关框架版本。
