⚠️ React Server Components 中的严重 RCE 漏洞 (CVSS 10.0)
发布: (2025年12月12日 GMT+8 17:51)
3 min read
原文: Dev.to
Source: Dev.to
🚨 为什么此漏洞重要
React Server Components 引入了一种混合渲染模型,服务器将组件树返回给客户端。披露的漏洞允许恶意行为者滥用该协议并注入在服务器端执行的负载,导致:
- 完全的服务器被攻陷
- 获取环境变量
- 通过被污染的响应产生供应链风险
- 在基础设施内部横向移动
这是迄今为止发布的最严重的 RSC 相关问题之一。
⚠️ 受影响的技术
React Server Components 包
| 状态 | 版本 |
|---|---|
| 有漏洞 | 19.0, 19.1.0, 19.1.1, 19.2.0 |
| 已修复 | 19.0.1, 19.1.2, 19.2.1+ |
使用 App Router 的 Next.js
Next.js 在内部使用 RSC,默认情况下在使用 /app 目录时即受影响。
有漏洞的版本
| Next.js 版本 |
|---|
| 15.x |
| 16.x(多个发行版) |
已修复的版本
| 安全版本 |
|---|
| 15.0.5 |
| 15.1.9 |
| 15.2.6 |
| 15.3.6 |
| 15.4.8 |
| 15.5.7 |
| 16.0.7 |
🔧 必须立即采取的措施
将 React RSC 包升级到以下安全版本之一:
19.0.1、19.1.2、19.2.1或更高版本。
将 Next.js 升级到上表列出的已修复版本。
更新依赖后:
- 重新构建并重新部署所有受影响的应用。
- 如果你的服务曾使用过有漏洞的版本,请轮换密钥/凭证。
- (推荐) 检查日志中是否存在可疑的 RSC 请求模式。
🔍 如何检查项目是否受影响
对于 React 项目
npm ls react-server react-server-dom-webpack或在 package.json / pnpm-lock.yaml 中查找上述有漏洞的版本。
对于 Next.js 项目
npx next info检查以下内容:
- 是否使用了 App Router(
/app目录) - 你的 Next.js 版本是否落在有漏洞的范围内
📌 适用范围
本通告适用于:
- 使用 RSC 的 React 项目
- 使用 Next.js App Router 的项目
- 任何处理 RSC 协议流量的后端
它 不影响 不使用 RSC 的传统 React 应用。
🔥 最后说明
此漏洞是 React 服务器端基础设施成为攻击向量的罕见案例,具备零认证、远程利用以及完全服务器被攻陷的潜力。
如果你的团队维护使用 RSC 或 Next.js App Router 的应用,请将这些更新视为紧急事项。
保持安全,尽早修补。
React 团队 — “React Server Components 中的关键安全漏洞 (CVE‑2025‑55182)”
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components