React高危漏洞CVE-2025-55182预警：Next.js服务端组件面临远程代码执行风险

React 核心团队发出警示："即便您的应用程序尚未实现任何 React 服务端函数端点，只要支持 React 服务端组件功能，就依然存在安全隐患。"

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

12月4日，React 团队在发现影响现代 React 生态系统的严重安全漏洞后，紧急发布了安全公告。该漏洞被评定为最高风险级别，可导致未经授权的攻击者在运行 React 服务端组件的服务器上执行任意代码。

该漏洞由安全研究员 Lachlan Davidson 发现，存在于客户端与服务端之间的通信层面。该漏洞被分配编号 CVE-2025-55182，CVSS 评分高达 10.0 分——这一评分仅适用于最危险的安全缺陷，即那些易于利用、无需认证且可导致系统完全沦陷的漏洞。

该漏洞的威胁范围尤其令人担忧，因为它超出了常规使用场景。开发者可能认为只要没有主动使用服务端函数就是安全的，但 React 团队明确指出："即便您的应用没有实现任何 React 服务端函数端点，只要支持 React 服务端组件，就可能面临风险。"

漏洞原理：反序列化过程缺陷

漏洞存在于反序列化过程中——即 React 如何将客户端发送的数据转换回服务端可执行操作。正常流程下，React 会将客户端请求转换为 HTTP 请求，服务端再将其解析为函数调用。但这个解码过程中存在的缺陷为恶意代码注入打开了方便之门。

"未经授权的攻击者可以向任何服务端函数端点构造恶意 HTTP 请求，当被 React 反序列化时，即可实现服务端远程代码执行。"这使得攻击者能够绕过安全控制，直接在主机服务器上运行命令。

影响范围：核心包与主流框架

问题根源在于特定底层包：react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。受影响版本涵盖 19.0 至 19.2.0。由于这些包是基础组件，漏洞会级联影响主要框架和打包工具。公告指出："以下 React 框架和打包工具受到影响：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。"

修复方案：立即升级

React 团队和框架维护者已发布补丁，必须立即升级以确保应用安全：

(1) React 核心包：19.0.1、19.1.2 和 19.2.1 版本已修复

(2) Next.js 用户：必须立即升级到对应发布线的最新修补版本：

注意：Next.js 14.3.0-canary.77 或更高版本的用户应降级至 next@14

(3) React Router 及其他框架：在 React Router、Waku 或 Redwood SDK 中使用不稳定 RSC API 的用户，应立即通过 npm install 将 react、react-dom 及其特定 server-dom 包（webpack/parcel）更新至最新版本。