- React 中的 CVE-2025-55182 和 Next.js 中的 CVE-2025-66478 允许通过 React Server Components Flight 协议执行未经身份验证的远程代码。
- 问题源于对精心构造的 RSC 有效载荷进行不安全的反序列化,这会影响流行框架中的默认配置。
- 研究人员报告称,漏洞利用的可靠性接近 100%,并估计约有 39% 至 40% 的云环境包含易受攻击的实例。
- 立即升级到强化版 React 和 Next.js 是唯一的根本缓解措施;防御者还应该审核任何启用 RSC 的框架。
过去几天,JavaScript 生态系统一直在努力应对两个问题。 最高级别安全漏洞 React 和 Next.js 中存在的漏洞会导致攻击者在受影响的服务器上远程执行代码。这些漏洞被列为 CVE-2025-55182 对于 React 和 CVE-2025-66478 对于 Next.js,重点关注 React 服务器组件如何处理所谓的 Flight 协议中的特殊网络流量。
因为这些问题会影响 默认框架配置 这些漏洞只需精心构造的HTTP请求即可触发,因此迅速成为许多安全团队补丁清单上的首要目标。厂商、研究人员和云服务提供商现在都一致认为:立即修复漏洞,评估风险,并为大规模扫描和攻击做好准备。
CVE-2025-55182 和 CVE-2025-66478 究竟是什么?
问题的核心在于……的缺陷 react-server 包该组件为 React 服务器组件 (RSC) 和 Flight 协议提供支持。在存在漏洞的版本中,服务器会接受特殊格式的 RSC 有效负载,并且 未经充分验证就对其进行反序列化允许攻击者控制的数据干扰服务器上运行的逻辑。
这种行为将原本应该是结构化的数据变成了 用于执行特权 JavaScript 的工具 在后端,当带有恶意 Flight 载荷的 HTTP 请求指向 RSC 或服务器函数端点时,攻击者可以利用不安全的反序列化路径实现未经身份验证的远程代码执行 (RCE)。无需事先访问、凭据或用户交互。
React 方面的问题跟踪如下: CVE-2025-55182Next.js 的 CVSS 评分高达 10.0 分,位列最高等级。由于 Next.js 在这些原语之上实现了 RSC 和 Flight 协议,因此它也继承了同样的底层缺陷;这种对下游的影响被归类为 10.0。 CVE-2025-66478 且严重程度评级相同。
安全公告将该漏洞描述为 逻辑反序列化漏洞 这并非传统的内存安全问题。问题出在有效载荷的解析和信任方式上,而非底层缓冲区处理。然而,后果同样严重:远程攻击者可以操控服务器端的执行。
哪些 React 和 Next.js 配置存在漏洞
该漏洞影响 React 19 的服务器端堆栈 在多个常用部署版本中均存在此漏洞。维护人员指出,19.0、19.1.0、19.1.1 和 19.2.0 等版本存在此漏洞。 react-server 软件包及其 Flight 协议实现。已打补丁的分支以如下方式分发: 19.0.1,19.1.2和19.2.1引入了更严格的反序列化逻辑。
在框架方面, Next.js 开箱即用就会受到影响。一个典型的应用程序是用以下方式生成的 create-next-app由于该框架是为生产环境构建并使用默认设置部署的,因此即使开发者不添加任何额外代码,也存在被利用的漏洞。为此,Next.js 背后的公司 Vercel 发布了针对 CVE-2025-66478 的漏洞公告,并发布了使用已修复 React 包的更新版本。
影响不仅限于 Next.js。任何生态系统组件都会受到影响。 将 React 服务器组件捆绑或插入 React 服务器组件 飞行协议很可能已经泄露。这其中包括以下工具和框架:
- Next.js
- @vitejs/plugin-rsc (Vite RSC 插件)
- @parcel/rsc (Parcel RSC 插件)
- React Router RSC 预览
- RedwoodSDK / rwsdk
- 袜裤
研究团队强调: 默认配置通常存在风险换句话说,即使开发者没有故意启用任何实验性标志或不寻常的设置,但如果其部署使用了受影响版本的 React Server Components,则仍然可能存在被利用的风险。
漏洞利用有多容易,以及防御者为何担忧
令安全界感到担忧的是…… 剥削门槛低多个研究小组报告称,攻击这些漏洞只需向可访问的RSC或服务器函数端点发送特制的HTTP请求即可。无需身份验证、复杂的先决条件或用户交互,这使得该场景对自动化攻击极具吸引力。
在受控测试中,像 Wiz Research 这样的团队已经构建了可行的概念验证漏洞利用程序并进行了观察。 接近100%的可靠性 在易受攻击的系统上触发远程代码执行 (RCE)。虽然完整的有效载荷尚未公开,但普遍认为其底层行为足够简单明了,其他人可以通过研究公开的补丁来重现可用的攻击代码。
鉴于 React 和 Next.js 的流行程度,一些专家认为 大规模扫描和武器化只是时间问题。早期有研究将其与其他影响巨大的服务器端漏洞进行比较,这些漏洞一旦技术细节和示例代码在地下社区或公共存储库中传播开来,就会遭到大量利用。
研究人员还强调了…… 潜在目标的广度React 为大型企业的网站和应用程序提供底层支持,涵盖社交媒体、电子商务、流媒体、SaaS 等领域。像 Next.js 这样的框架被广泛用于内部应用程序和面向客户的应用程序,这意味着漏洞可能出现在企业网络深处,也可能出现在面向公众的前端。
许多安全建议发布之时,已有…… 目前尚无确凿的野生捕猎报告。不过,分析人士表示,有理由假设威胁行为者已经在对修复程序进行逆向工程,并绘制出哪些主机可访问且配置错误。
这种风险在云环境中的分布范围有多广
来自云规模扫描的多个数据点说明了问题的严重性。Wiz 的威胁猎手报告称,大约 39% 的云环境 他们分析的实例中包含运行易受 CVE-2025-55182 和/或 CVE-2025-66478 漏洞影响的 React 或 Next.js 版本。其他分类结果显示,实际数字更接近于 如果将这两种技术结合起来计算,则占比为 40%。.
具体来看 Next.js,框架本身大约出现在…… 69%的环境 在他们的数据集中。其中,绝大多数是主机 公开访问的应用程序 基于 Next.js 构建。换句话说,他们的遥测数据表明大约 44% 的云环境 至少要有一个暴露在互联网上的 Next.js 实例,无论它当前是否已打补丁。
这种结合 高部署密度和公众曝光 这正是攻击者在选择投入精力攻击哪些漏洞时所寻找的。一条攻击链可以大规模地重复用于攻击许多配置相似的目标,而自动化工具可以扫描整个IP地址范围,找到未打补丁的服务器。
一些服务提供商正在努力缩小爆炸半径。例如,谷歌已经表示: 默认公共操作系统映像 谷歌云计算引擎上使用的镜像本身并不存在漏洞,但客户仍然需要审核并修补部署在这些镜像之上的任何应用程序。
供应商提供 Web应用程序防火墙(WAF) 一些公司也加入了讨论。例如,Cloudflare 表示,当流量完全通过其 WAF 服务路由时,WAF 可以帮助保护某些 React 应用程序免受攻击,但这种保护最好被视为额外的安全层,而不是底层软件更新的替代方案。
时间线、调查和供应商响应
围绕 CVE-2025-55182 和 CVE-2025-66478 的一系列事件迅速展开。 安全研究员拉克兰·戴维森 11 月底,我们发现了 React 解码发往 React Server Function 端点的有效负载的方式存在问题,并通过 Meta 的漏洞赏金计划报告了该问题。
React 最初由 Meta 开发,现在已成为许多现代 Web 技术栈的基石,在报告得到证实后迅速发展。 大约四天内React 团队与 Meta 协调,向受影响的 19.x 系列发布了紧急更新,并发布安全公告,敦促立即升级。
在同一天, Vercel宣布成立自己的顾问 Next.js 存在 CVE-2025-66478 漏洞。框架维护者发布了补丁版本、用户指南,并详细说明了 Next.js 中的 RSC 实现如何从 React 的服务器库继承了易受攻击的行为。
许多公开报道都是故意的 省略逐步攻击细节 目前,他们采取的措施是解释风险、列出受影响的组件和版本,并引导用户使用更新的版本。这样做的目的是为了给防御者争取时间部署修复程序,同时减缓技术水平较低的攻击者的速度。
包括watchTowr和Rapid7等公司的研究人员在内的业内人士都表达了类似的观点,认为这是一个 对于任何在生产环境中运行 React 或 Next.js 的用户来说,这都是一个高优先级问题。而且,漏洞公开前的窗口期可能很短。
各队现在应该做什么
对于使用 React Server Components、Next.js 或任何支持 RSC 的插件和框架的组织而言,最明确的指导原则是: 升级到加固版本是唯一彻底的缓解措施。目前没有任何配置选项可以在不影响现有版本的情况下安全地消除该漏洞。
在 React 方面,这意味着从受影响的 19.x 版本(例如 19.0、19.1.0、19.1.1 和 19.2.0)迁移到 19.0.1,19.1.2或19.2.1根据项目所属分支的不同,这些版本会包含更严格的 Flight 协议有效载荷检查,并修复不安全的序列化行为。
对于 Next.js 用户,建议是 更新至已打补丁的框架版本 Vercel 在其公告中宣布,这将确保依赖树引入已修复的 React 服务器包。即使项目本身的代码中没有显式使用 RSC,如果框架在底层启用了服务器组件,仍然可能存在风险。
依赖其他支持 RSC 的技术栈(包括 Redwood、Waku、React Router RSC 预览版以及 Vite 和 Parcel 的 RSC 插件)的团队应该 关注官方频道 这些项目大多都打包了各自的 React 服务器运行时库,因此它们的维护者会发布具体的更新说明和版本号供用户查找。
对于拥有大量云资源的企业来说,很难确定所有存在漏洞的组件都位于何处。一些安全厂商,例如 Wiz,正在提供相关服务。 预置查询和建议 在其平台内,一些公司正在帮助客户识别不同环境中受影响的 React 和 Next.js 实例。另一些公司则提供检测逻辑和扫描规则,供内部安全团队进行调整和应用。
这对更广泛的互联网生态系统意味着什么
CVE-2025-55182 和 CVE-2025-66478 的出现引发了关于如何应对安全问题的更广泛讨论。 服务器端 JavaScript 框架可以处理复杂的序列化格式。RSC 和 Flight 协议是构建现代应用程序的强大工具,但这种实现高级功能的灵活性,如果解析逻辑没有得到仔细的锁定,也可能引入不易察觉的攻击面。
对于开发者而言,这一事件提醒我们: 依赖框架的默认行为并不能保证安全。 以及防范的重要性 针对 npm 的供应链攻击在这种情况下,普通的样板配置就足以使应用程序面临未经身份验证的远程代码执行 (RCE) 攻击。对于交付基于 React 或 Next.js 的服务的团队来说,及时了解安全公告、锁定依赖项并快速应用更新已成为不容忽视的任务。
从防御角度来看,各组织正在利用此次事件来审查他们的应对措施。 多层保护策略打补丁是重中之重,但许多人也在考虑加强对管理或内部端点的访问控制,部署 WAF 规则来发现可疑的 Flight 协议流量,以及提高对可能表明存在攻击尝试的服务器端错误的可观测性。
这种情况也凸显了互联网如今在多大程度上依赖于相对较少的一组人。 共享开源组件一个被广泛使用的库中出现的单个漏洞,可能在短短几天内就波及到云服务提供商、SaaS平台和企业环境。当如此多的组织同时受到影响时,协调一致的披露、供应商的快速响应和清晰的沟通就显得至关重要。
目前,重点是尽快将存在漏洞的 React 和 Next.js 安装迁移到修复版本。 剥削已成为一种常态。由于研究人员报告称,这些漏洞利用的可靠性近乎完美,默认配置存在漏洞,并且相当一部分云环境运行着受影响的版本,这些 CVE 已迅速从晦涩的协议细节转变为维护现代 JavaScript 应用程序的团队面临的紧迫运维问题。
