近期安全研究人员在分析上周 React Server Components 的关键安全补丁时,发现了 两个新的安全漏洞,已由 React 官方在 2025 年 12 月 11 日发布公告并修复。
// 新发现的两个漏洞
这两个漏洞 不允许远程代码执行(RCE),但仍然可能对生产环境造成严重影响:
拒绝服务(Denial of Service)— 高危(CVE-2025-55184 和 CVE-2025-67779)恶意构造的 HTTP 请求可导致服务器进入无限循环,CPU 消耗飙升并挂起进程,造成服务不可用。
源代码泄露(Source Code Exposure)— 中危(CVE-2025-55183)攻击者可通过特定请求,使受影响的 React Server Function 返回其服务端函数的源代码,可能泄露敏感实现逻辑。
虽然这两个漏洞不会让攻击者直接执行服务器代码(不像此前的 React2Shell 那样严重),但仍可能导致服务中断与敏感信息泄露,不容忽视。
// 受影响版本 & 补丁要求
这些漏洞影响了 React Server Components 相关包的多个版本(包括但不限于 react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack)早期发布的多个版本。
官方建议:
立即升级到官方发布的修复的版本:
- 19.0.3
- 19.1.4
- 19.2.3
如果你已经为之前的关键漏洞(React2Shell)更新过,但更新到了 19.0.2、19.1.3、19.2.2 等,这些版本仍然存在问题,还需再次升级。
// 小结
虽然本次新增的漏洞已及时修复,但仍提醒所有使用 React Server Components 的开发者认真对待并立即升级。安全无小事,务必尽快完成补丁更新,确保线上服务稳定与代码资产安全。
注意:该漏洞和上周发布的这篇文章并非同一漏洞,需要再次升级 Next.js 爆出高危漏洞 CVE-2025-66478,建议立即排查升级!
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/5300.html
