一、基本情况
React是由Meta开源、用于构建用户界面的JavaScript库。其“React Server Components”(RSC)架构允许组件在服务端渲染并序列化输出,通过“Flight”协议以JSON-like流式格式发送到客户端,实现零客户端JS体积的交互体验。
二、漏洞描述
React Server Components中被发现存在远程代码执行漏洞(CVE-2025-55182)和Next.js远程代码执行漏洞(CVE-2025-66478),此漏洞主要影响react-server-dom-webpack的Server Actions功能。由于在解析客户端提交的表单时缺少安全校验,攻击者可通过构造恶意表单请求,直接调用Node.js内置模块,从而在服务器上执行任意系统命令、读写任意文件,甚至完全接管服务;同时由于Next.js 15.x和16.x版本在使用App Router时,依赖了存在缺陷的React服务端DOM包,导致攻击者同样可以注入恶意代码远程执行命令。
三、影响范围
react-server-dom-parcel:19.0.0、19.1.0、19.1.1和19.2.0
react-server-dom-webpack:19.0.0、19.1.0、19.1.1和19.2.0
react-server-dom-turbopack:19.0.0、19.1.0、19.1.1和19.2.0
Next.js≥14.3.0-canary.77、≥15和≥16
四、修复建议
官方已发布修复版本,具体升级方式可参考官方安全公告。
