广泛使用的 JavaScript 库 React 以及包括Next.js在内的几个基于 React 的框架存在一个最高严重性的漏洞,允许未经身份验证的远程攻击者在易受攻击的实例上执行恶意代码。安全研究人员表示,这个漏洞很容易被滥用,大规模利用“迫在眉睫”。
React 团队在周三披露了 React Server Components 中的未经身份验证的远程代码执行(RCE)漏洞。它被跟踪为CVE-2025-55182,并获得了最高的 10.0 的 CVSS 严重性评级。
这是一个大问题,因为大部分互联网都是建立在 React 之上的——据估计,39%的云环境容易受到这个漏洞的影响。因此,这个问题应该在你的待办事项列表中占据一个突出的位置。
这个漏洞影响了 19.0、19.1.0、19.1.1 和 19.2.0 版本的:
它还影响了包括next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc和rwsdk在内的几个 React 框架和打包器的默认配置。
项目的维护者表示,升级到19.0.1、19.1.2和19.2.1版本可以修复这个漏洞。
“我们建议立即升级,”React 团队在周三的安全咨询中表示。
“CVE-2025-55182 对世界上使用最广泛的 Web 应用程序框架之一的用户构成了重大风险,”风险管理工具供应商 watchTowr 的创始人兼首席执行官 Benjamin Harris 告诉 The Register。“利用几乎不需要先决条件,[并且]毫无疑问,一旦攻击者开始分析现在公开的补丁,就会立即进行野外利用。”
Next.js 的创建者和主要维护者 Vercel 为该漏洞分配了自己的 CVE(CVE-2025-66478),并在周三发布了警报和补丁。
虽然我们没有太多关于这个漏洞的细节,但我们知道它滥用了 React 解码发送到 React Server Function 端点的有效载荷的缺陷。
“未经身份验证的攻击者可以制作一个恶意的 HTTP 请求到任何 Server Function 端点,当被 React 反序列化时,可以在服务器上实现远程代码执行,”安全警报警告说。“有关该漏洞的更多细节将在修复完成后提供。”
上周六,研究员 Lachlan Davidson 发现并报告了这个缺陷给 Meta,Meta 创建了这个开源项目。Meta 与 React 团队合作,在四天后迅速推出了一个紧急补丁。
React 的应用非常广泛——Meta 的 Facebook 和 Instagram、Netflix、Airbnb、Shopify、Hello Fresh、Walmart 和 Asana 都依赖于它,数百万开发者也依赖于它——许多框架都依赖于易受攻击的 React 包。
因此,这个 CVE 将大部分互联网置于危险之中。
“Wiz 数据表明,39%的云环境包含易受 CVE-2025-55182 和/或 CVE-2025-66478 影响的 Next.js 或 React 的实例,”云安全商店的威胁猎人 Gili Tikochinski、Merav Bar 和 Danielle Aminov 在周三表示。
这家即将被谷歌收购的公司对这个漏洞进行了实验和修复,并报告说“利用这个漏洞的保真度很高,成功率接近 100%,可以利用它来执行完整的远程代码。”
“由于其严重性和易利用性,需要立即打补丁,”三人补充说。
在撰写本文时,The Register 没有发现任何野外利用的报告。然而,可以肯定的是,犯罪分子已经在逆向工程补丁,并在互联网上扫描暴露的、易受攻击的实例。
“由于 React 和 Next.js 等框架的广泛使用,这个漏洞预计将引起极大的关注,”Rapid7 的高级首席研究员 Stephen Fewer 告诉 The Register。
“技术细节和利用代码被公开的可能性很高,因此利用可能很快就会发生,”他说。“因此,立即修补这个漏洞至关重要。”
Cloudflare 声称,如果他们的 React 应用程序流量是通过 WAF 代理的,那么他们的 Web 应用程序防火墙(WAF)可以保护他们免受该漏洞的侵害。®
原文链接:
https://www.theregister.com/2025/12/03/exploitation_is_imminent_react_vulnerability/?td=rt-3a
