漏洞概述 | |||
漏洞名称 | React Server Components 多个远程代码执行漏洞 | ||
漏洞编号 | QVD-2025-46246,CVE-2025-55182 QVD-2025-46274,CVE-2025-66478 | ||
公开时间 | 2025-12-03 | 影响量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 10.0 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可通过构造恶意表单请求,直接调用Node.js 内置模块,从而在服务器上执行任意系统命令、读写任意文件,甚至完全接管服务。 | |||
01 漏洞详情
影响组件
React 是由 Meta 开源、用于构建用户界面的 JavaScript 库。其“React Server Components”(RSC)架构允许组件在服务端渲染并序列化输出,通过“Flight”协议以 JSON-like 流式格式发送到客户端,实现零客户端 JS 体积的交互体验。RSC 已被 Next.js、Shopify Hydrogen、Gatsby 5 等主流框架采用,广泛应用于电商、SaaS、内容站点。
漏洞描述
近日,奇安信CERT监测到官方修复React Server Components 远程代码执行漏洞(CVE-2025-55182)和Next.js 远程代码执行漏洞(CVE-2025-66478),此漏洞主要影响 react-server-dom-webpack 的 Server Actions 功能。由于在解析客户端提交的表单时缺少安全校验,攻击者可通过构造恶意表单请求,直接调用 Node.js 内置模块,从而在服务器上执行任意系统命令、读写任意文件,甚至完全接管服务;同时由于Next.js 15.x和16.x版本在使用App Router时,依赖了存在缺陷的React服务端DOM包,导致攻击者同样可以注入恶意代码远程执行命令。该漏洞利用简单、隐蔽性强,仅需一次 HTTP POST 请求即可触发。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
React Server 19.0.0
React Server 19.0.1 (注:部分早期补丁未完全覆盖)
React Server 19.1.*
React Server 19.2.0
其他受影响组件
Next.js v15.0.0 - v15.0.4
Next.js v15.1.0 - v15.1.8
Next.js v15.2.x - v15.5.6
Next.js v16.0.0 - v16.0.6
Next.js v14.3.0-canary.77 及以上 Canary 版本
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现React Server Components 远程代码执行漏洞(CVE-2025-55182),截图如下:
04 处置建议
安全更新
官方已发布安全补丁,请及时更新至最新版本:
React Server 19.0.1
React Server 19.1.2
React Server 19.2.1
下载地址:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
05 参考资料
[1] https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
