收藏

历史
投稿

【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)

长亭安全应急响应中心 2025-12-04 11:14:00
收藏

2025-12-04 11:14 北京

检测业务是否受到此漏洞影响,请联系长亭应急服务团队!

React 是目前全球最主流、使用最广泛的前端开发框架/库之一,拥有庞大的开发者社区和生态系统。

2025年12月,长亭安全应急响应中心监测到React服务端组件存在反序列化代码执行漏洞。经分析,React服务端组件(RSC)在处理ReplyFlightStream的反序列化数据时缺乏必要校验,最终导致未授权代码执行。

受影响条件:

  • 如果您的应用只是纯前端页面(没有服务器端代码),则不受此漏洞影响

  • 如果您的应用没有使用React服务端组件(RSC)功能,则不受此漏洞影响

  • 前后端分离项目:如果您使用React仅作为前端开发,后端是独立的API服务,则不受此漏洞影响

只有同时满足"使用React SSR(服务端渲染)或全栈框架(Next.js等)"且"启用了React服务端组件功能"的应用才会受到影响。

此漏洞影响范围相对有限,仅影响使用React服务端组件的应用,传统的纯前端React应用和前后端分离架构都是安全的,开发者无需过于惊慌。建议受影响的用户尽快升级至修复版本。

漏洞描述

Description

01

漏洞成因

React Server Components(RSC)在处理ReplyFlightStream的反序列化数据时缺乏必要校验,攻击者可构造任意模型字段、循环结构、Server Reference与multipart/form-data,诱使解析流程进入异常路径并触发模块加载与引用执行链,最终导致未授权代码执行。

漏洞影响

攻击者可在服务器上执行任意代码,可能导致服务器被完全控制、数据泄露或业务系统沦陷。

处置优先级:高

漏洞类型:远程代码执行

漏洞危害等级:

触发方式:网络远程

权限认证要求:无需权限

系统配置要求:默认配置

用户交互要求:无需用户交互

利用成熟度:POC 已公开

修复复杂度:低,官方提供升级修复方案

影响版本

Affects

02

react-server-dom-parcel:19.0.0、19.1.0、19.1.1 和 19.2.0
react-server-dom-webpack:19.0.0、19.1.0、19.1.1 和 19.2.0 
react-server-dom-turbopack:19.0.0、19.1.0、19.1.1 和 19.2.0
Next.js  ≥14.3.0-canary.77、≥15 和 ≥16

解决方案

Solution

03

临时缓解方案

限制访问来源地址,如非必要,不要将系统开放在互联网上

升级修复方案

官方已发布修复版本,具体升级方式可参考官方安全公告:

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

漏洞复现

Reproduction

                                    04

长亭应急响应实验室安全研究员已成功复现React Server Components 远程代码执行漏洞,验证截图如下:

产品支持

Support

05

雷池:已发布自定义规则支持检测

洞鉴:默认支持该产品的指纹识别,预计2025年12月4日支持自定义PoC检测

全悉:预计2025年12月4日发布更新包支持检测

时间线

Timeline

06

2025年12月4日  长亭安全应急响应中心收到漏洞情报

2025年12月4日  长亭应急响应实验室完成漏洞分析与复现

2025年12月4日  长亭安全应急响应中心发布通告

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时,守护您的安全

第一时间找到我们:

邮箱:[email protected]

阅读原文

跳转微信打开

原始链接: https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247492991&idx=1&sn=195e26f28c4ba07246dc8c672e3fd602
侵权请联系站方: [email protected]

相关推荐

换一批