一、漏洞详情
React是由Meta开源、用于构建用户界面的JavaScript库。其“React Server Components”(RSC)架构允许组件在服务端渲染并序列化输出,通过“Flight”协议以JSON-like流式格式发送到客户端,实现零客户端JS体积的交互体验。
近日,监测到发现React Server Components远程代码执行漏洞(CVE-2025-55182)和Next.js远程代码执行漏洞(CVE-2025-66478),此漏洞主要影响react-server-dom-webpack的Server Actions功能。由于在解析客户端提交的表单时缺少安全校验,攻击者可通过构造恶意表单请求,直接调用Node.js内置模块,从而在服务器上执行任意系统命令、读写任意文件,甚至完全接管服务;同时由于Next.js 15.x和16.x版本在使用App Router时,依赖了存在缺陷的React服务端DOM包,导致攻击者同样可以注入恶意代码远程执行命令。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
react-server-dom-parcel:19.0.0、19.1.0、19.1.1 和 19.2.0
react-server-dom-webpack:19.0.0、19.1.0、19.1.1 和 19.2.0
react-server-dom-turbopack:19.0.0、19.1.0、19.1.1 和 19.2.0
Next.js ≥14.3.0-canary.77、≥15 和 ≥16
三、修复建议
官方已发布修复版本,具体升级方式可参考官方安全公告:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Designed by