近日,火绒安全团队监测到React Server Components存在一个CVSS评分10.0分(最高风险等级)的高危远程代码执行漏洞,漏洞编号为CVE-2025-55182。
拦截截图
该漏洞源于React在解码发送至服务器函数端点的请求负载时存在安全缺陷,攻击者可在无需身份验证的情况下,通过构造恶意HTTP请求实现远程代码执行,完全控制目标服务器,对用户的Web服务安全构成严重威胁。
危害极大且攻击门槛低
无需任何身份验证,单个恶意HTTP请求即可触发远程代码执行,攻击者可直接完全接管目标服务器,实现窃取敏感数据、植入后门、篡改/删除核心业务数据等恶意操作,甚至能横向渗透攻击内网其他服务器。
影响范围极广
覆盖React 19相关版本及Next.js等多个主流依赖框架,涉及电商、办公等众多领域的全栈应用,一旦被利用易造成严重损失。
漏洞影响范围
| 软件包 | 受影响版本范围 |
| Next.js | 15.0.0 → 15.0.4 |
| 15.1.0 → 15.1.8 | |
| 15.2.0 → 15.2.5 | |
| 15.3.0 → 15.3.5 | |
| 15.4.0 → 15.4.7 | |
| 16.0.0 → 16.0.6 | |
| React RSC | 19.0.0 |
| 19.1.0 → 19.1.1 |
漏洞防护方案
升级您的React版本到已修复的安全版本
React官方安全公告:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
升级火绒安全软件至V6.0.8.4版本
该版本正式支持对该漏洞攻击行为的精准拦截,有效保护受影响用户的Web服务安全。本次版本核心更新内容:新增CVE-2025-55182漏洞攻击拦截规则,强化Web服务安全防护能力。
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/5260.html
