近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,React服务端组件存在远程代码执行超危漏洞。
React是由Meta公司开发、用于构建用户界面的开源JavaScript库。其服务端组件React Server Components运行时未充分校验反序列化数据,未经身份验证的攻击者可构造恶意请求远程执行代码。受影响的React包涉及19.0、19.1.0、19.1.1和19.2.0版本的react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack,以及部分依赖或内置React包的框架和工具(如Next.js、React Router、Waku、@parcel/rsc、@vitejs/plugin-rsc、rwsdk等)。
目前,React官方已修复漏洞并发布安全公告(URL链接:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components),建议相关单位和用户立即开展隐患排查,及时升级至最新安全版本,防范网络攻击风险。
感谢北京步刻科技有限公司、北京长亭科技有限公司、北京启明星辰信息安全技术有限公司、天融信科技集团股份有限公司提供技术支持。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
