React高危漏洞预警：未经身份验证即可远程执行代码，请立即升级

12月4日，热门JavaScript框架React发布最新安全公告，披露React Server Components中存在一处严重的远程代码执行漏洞，该漏洞因缺乏有效身份验证机制而导致。官方建议开发者立即采取措施升级至修复版本。

11月29日，安全研究员Lachlan Davidson报告了React中的一项安全缺陷，攻击者可通过构造恶意负载并发送至React Server Function端点的方式，在未经身份验证的情况下实现远程代码执行。

React团队特别强调，即使你的应用当前并未实现任何具体的React Server Function端点，只要应用支持React Server Components，仍存在被该漏洞攻击的风险。

该漏洞被登记为CVE-2025-55182，并获得CVSS 10.0的最高风险评分。React Server Functions允许客户端调用服务器端函数，React会将客户端请求转换为HTTP请求并转发至服务器。在服务器端，React将HTTP请求转换为函数调用，并将所需数据返回给客户端。未通过身份验证的攻击者可构造恶意HTTP请求，向任何Server Function端点发送精心设计的载荷，当React对此请求进行反序列化时，便在服务器上实现了远程代码执行。

根据公告披露，该漏洞影响React以下版本：19.0、19.1.0、19.1.1和19.2.0。最新发布的19.0.1、19.1.2和19.2.1版本已包含修复补丁，强烈建议用户立即升级至已修复的安全版本。

需要说明的是，如果你的React应用完全不使用服务器环境，或者未使用支持React Server Components的框架、打包工具及相关插件，则该应用不受此漏洞影响。

值得注意的是，部分React框架和打包工具因依赖关系可能包含存在漏洞的React包。受影响的React框架和打包工具包括：next、react-router、waku、@parcel / rsc、@vitejs / plugin-rsc和rwsdk。