大工网安告[2025047]

一、 情况分析

React 是用于构建用户界面的 JavaScript 库，由 Facebook 开发维护。其核心是组件化开发模式，允许将 UI 拆分为独立、可复用的部分。它采用虚拟 DOM 技术高效更新界面，并遵循单向数据流原则，使状态变化更可预测。React 通过 JSX 语法将逻辑与标记结合，实现声明式编程。它常与 React Router、状态管理库等配合，用于开发单页面应用，是构建现代 Web 应用的主流框架之一。

近日，监测到官方修复 React Server Components 远程代码执行漏洞(CVE-2025-55182)和 Next.js 远程代码执行漏洞(CVE-2025-66478)， 此漏洞主要影响react-server-dom-webpack 的 Server Actions 功能。 由于在解析客户端的 RSC 相关请求时缺少安全校验， 攻击者可通过构造恶意请求， 从而在服务器上执行任意代码， 甚至完全接管服务； 同时由于 Next.js 15.x 和 16.x 版本在使用 App Router 时， 依赖了存在缺陷的 React 服务端 DOM 包， 导致攻击者同样可以注入恶意代码远程执行命令。

Next.js 团队发布了一份安全公告， 并给出了他们自己的 CVE 编号 CVE-2025-66478。然而， 漏洞数据库 (NVD) 拒绝了此 CVE 编号， 认为它与 CVE-2025-55182 重复。

威胁类型：代码执行。

技术类型：反序列化错误。

危害描述：不受信任的输入可以触发意外的服务器执行路径， 将恶意数据隐藏在负载中， 从而实现远程代码执行。

二、 影响版本

受影响的React版本：

React Server 19.0.0

React Server 19.0.1 (注： 部分早期补丁未完全覆盖)

React Server 19.1.*

React Server 19.2.0

受影响的包：

react-server-dom-parcel

react-server-dom-turbopack  

react-server-dom-webpack

受影响的Next.js版本：

使用React Server Components和App Router的应用程序在以下版本中受到影响：

Next.js 15.x系列（所有版本）

Next.js 16.x系列（所有版本）

Next.js 14.3.0-canary.77及后续canary版本

三、 处置建议

修复解决方案（含漏洞补丁） ：

官方已发布安全补丁，请升级更新至无漏洞版本，受影响的服务器组件请升级至最新版：

React Server 19.0.1

React Server 19.1.2

React Server 19.2.1

Next.js 15.0.5

Next.js 15.1.9

Next.js 15.2.6

Next.js 15.3.6

Next.js 15.4.8

Next.js 15.5.7

Next.js 16.0.7