react server components有漏洞
最新回答
素婉纤尘
2021-07-19 20:15:34
2025年12月3日React官方披露CVE-2025-55182漏洞,该漏洞为最高等级CVSS 10.0分,可导致未授权远程代码执行(RCE),影响范围覆盖React核心包及Next.js等主流框架,需紧急采取修复措施。
一、漏洞核心信息
1. 漏洞本质
漏洞存在于`react-server-dom-webpack`/`react-server-dom-parcel`/`react-server-dom-turbopack`等RSC核心包的反序列化机制中:攻击者可通过构造恶意HTTP请求,利用React对服务端函数(Server Function)请求的解析逻辑,直接在服务器执行任意代码。
2. 影响范围
• 受影响的React核心包版本:19.0.0、19.1.0、19.1.1、19.2.0;
• 受影响的框架/工具:Next.js(含App Router的15.x/16.x及14.3.0-canary.77+)、React Router(unstable RSC API)、Waku、@parcel/rsc、@vitejs/plugin-rsc、Redwood SDK(rwsdk);
• 不受影响的场景:未使用RSC的纯客户端React应用、Next.js Pages Router/13.x/14.x稳定版、Edge Runtime环境。
二、紧急修复方案
1. 核心包升级
所有受影响的React核心包需升级至以下安全版本:
• react-server-dom-webpack:≥19.0.1/19.1.2/19.2.1;
• react-server-dom-parcel:≥19.0.1/19.1.2/19.2.1;
• react-server-dom-turbopack:≥19.0.1/19.1.2/19.2.1。
2. 框架针对性修复
• Next.js:升级至对应版本(如15.0.5、15.1.9、16.0.7),14.3.0-canary.77+需降级至14.x稳定版;
• React Router:升级`react`/`react-dom`及RSC相关插件至最新版;
• Expo/Redwood SDK/Waku/Vite插件:均需升级`react`/`react-dom`及对应RSC包至最新安全版本。
3. 临时 mitigation 补充
部分托管服务商已实施临时防护,但不能依赖第三方防护,需以升级代码为主。
三、关键注意事项
• 无需认证即可攻击:漏洞利用无需用户权限,任何可访问服务端函数端点的请求均可触发;
• 无配置开关关闭漏洞:无法通过代码配置禁用漏洞路径,必须升级依赖;
• 修复已完成验证:官方已在2025年12月3日发布安全版本,修复后漏洞完全消除。
热门标签
