- React 中的 CVE-2025-55182 和 Next.js 中的 CVE-2025-66478 允许通过 React 服务器组件的“Flight”协议执行未经身份验证的远程代码。
- 该漏洞源于对精心构造的 RSC 有效载荷进行不安全的反序列化,并会影响许多框架的默认配置。
- 研究人员观察到漏洞利用可靠性接近 100%,并估计大约 39-40% 的云环境运行着易受攻击的 React/Next.js 实例。
- 立即升级到经过强化的 React 和 Next.js 版本是唯一的根本缓解措施,供应商已经发布了补丁和指南。
过去几天,全球各地的安全团队都在争分夺秒地评估 React 生态系统中新披露的两个漏洞: React Server Components 中的 CVE-2025-55182 和 Next.js 中的 CVE-2025-66478这些漏洞为在服务器上执行完全远程代码打开了方便之门,并引起了人们的警惕,因为攻击者无需身份验证即可触发这些漏洞,而且只需付出极少的努力。
这个问题直击现代 JavaScript 基础设施的核心。从小型业余项目到大型企业使用的平台,React 和 Next.js 都为之提供支持,而且相当一部分云工作负载也依赖于它们。研究人员警告说…… 即将发生的大规模利用以及近乎完美的利用可靠性开发和运维团队被敦促将打补丁工作列为任务清单的首要任务。
CVE-2025-55182 和 CVE-2025-66478 究竟是什么?
问题的核心在于 React 服务器组件 (RSC) “Flight”协议这是一种用于处理服务器驱动渲染流程的机制。CVE-2025-55182 是分配给 React 自身漏洞的标识符。 react-server 包装,而 CVE-2025-66478 涵盖了 Next.js 中的相应漏洞。它嵌入并扩展了该协议。
该漏洞本质上是一个 RSC有效载荷处理方式中的逻辑反序列化错误当服务器收到精心构造的、格式错误的 Flight 数据包时,其实现未能对数据包的结构进行彻底验证就直接执行。这种疏忽使得攻击者控制的数据能够潜入到可以影响服务器端执行的位置。
实际上,这意味着攻击者可以发送单个数据包。 向 React 服务器函数或 RSC 端点发送精心构造的 HTTP 请求当服务器反序列化该有效载荷时,可以强制其以服务器进程的权限运行任意 JavaScript 代码,从而将简单的请求变成全面的远程代码执行 (RCE)。
安全团队和供应商都认为这两个 CVE 都具有以下特点: CVSS 最高评分为 10.0这是最高评级。这反映了远程可访问性、缺乏身份验证要求以及受影响环境可能完全被攻破的综合情况。
为什么默认配置会被公开
其中一个特别令人担忧的细节是,这些漏洞会影响 标准配置,无特殊配置一个典型的 Next.js 应用程序,由以下方式生成: create-next-app为生产环境编译并使用默认选项部署的程序可能开箱即用就存在漏洞。
其他许多情况也是如此。 支持RSC的框架和工具,它们捆绑了 react-server 履行由于他们直接采用了 React 设计的 Flight 协议,因此也继承了不安全的反序列化行为。开发者无需添加任何特殊功能或自定义解析逻辑即可利用此漏洞。
这种默认暴露增加了攻击者可以利用的风险。 扫描互联网上的 RSC 或服务器功能端点 并能迅速找到合适的攻击目标。无需窃取凭证或预先存在的访问权限:只要相关终端可以从公共互联网访问,并且运行的是存在漏洞的版本,它们就处于危险之中。
安全研究人员强调,即使是拥有成熟安全计划的组织也可能受到影响,因为 RSC 通常通过框架更新和模板隐式启用。有些团队可能没有意识到他们正在生产环境中使用它。
影响范围涵盖 React 和 Next.js 生态系统
多项分析都得出相同的结论:潜在爆炸半径异常大。Wiz Research 的数据显示,大约 39% 至 40% 的云环境包含易受 CVE-2025-55182 和/或 CVE-2025-66478 漏洞影响的 React 或 Next.js 实例。这是公共互联网应用层的重要组成部分。
这个问题不仅限于独立安装的 React。 Next.js尤其普及。在某些数据集的观测环境中,它出现在近 69% 的环境中,而且其中大多数运行的是面向公众的 Next.js 应用。这意味着相当一部分云环境会将易受攻击的端点直接暴露给不受信任的流量。
就具体部件而言,该问题会影响到…… React 19.0、19.1.0、19.1.1 和 19.2.0 包含有缺陷的系列 react-server 实现方面,框架方面,一些集成了RSC的常用工具也受到影响。虽然具体影响程度有所不同,但与易受攻击的协议相关的技术包括:
- Next.js
- Vite RSC 插件(
@vitejs/plugin-rsc) - Parcel RSC 插件(
@parcel/rsc) - React Router RSC 预览
- RedwoodSDK
- 袜裤
研究人员强调, 任何捆绑受影响项的框架或库 react-server 履行 即使早期公告中没有明确列出,它也可能在范围内。建议各组织清点其在构建工具、预览版和试点项目中(而不仅仅是高流量生产应用程序)对 RSC 的使用情况。
云服务提供商也开始做出反应。例如,一家供应商指出: 其默认的虚拟机公共操作系统镜像默认不包含存在漏洞的 React 组件。但这并不能保护客户自行安装和配置 React 或 Next.js 的工作负载。
利用漏洞的运作原理以及可靠性为何如此之高
虽然厂商故意隐瞒了一些底层漏洞利用细节,以便给防御者留出时间进行修补,但大致轮廓是公开的。从宏观层面来看,攻击者只需要…… 构造一个携带特定格式错误 RSC 有效负载的 HTTP 请求。 目标是解析 React Flight 数据的服务器端点。
由于存在漏洞的代码路径是标准反序列化逻辑的一部分,因此受害者无需点击任何内容、登录或执行多步骤工作流程。只要攻击者能够访问服务器函数或 RSC 端点,他们就可以尝试…… 触发不安全的反序列化,并将执行导向其自身的有效载荷。.
在测试中,安全团队报告称,漏洞利用表明 “高保真度”,成功率接近100%。 一旦目标配置被掌握,这种可靠性在远程攻击中并不常见,也增加了攻击者能够大规模自动化扫描和入侵的可能性。
专家还警告说, 现在公开的补丁和建议实际上充当了逆向工程的路线图。即使漏洞利用代码尚未广泛发布,威胁行为者也可以研究易受攻击版本和修复版本之间的差异,从而重构易受攻击的逻辑并将其武器化,这同样具有风险。 npm 的 suministro 链.
根据最新报告,尚未发现大规模实际利用该漏洞的案例,但多家安全厂商和研究人员预计这种情况将很快改变。 攻击者争相利用未打补丁的系统。 在各组织完成补救工作之前。
供应商的回应和可用的补丁
CVE-2025-55182 的发现归功于 安全研究员拉克兰·戴维森该问题由[用户姓名]通过Meta的漏洞赏金计划报告。从最初披露到发布补丁,整个过程异常迅速,这反映了该漏洞的严重性及其在整个网络生态系统中的影响范围。
React 团队已经发布了 受影响软件包的加固版本对于核心库,维护者指出了诸如 React 之类的更新。 19.0.1,19.1.2和19.2.1 以及相关组件的等效修补版本,以封闭 Flight 协议中的特定反序列化漏洞。
在框架方面, 维护 Next.js 的 Vercel 公司分配了 CVE-2025-66478 漏洞编号。 针对同一 RSC 漏洞的下游影响,React 发布了更新的 Next.js 版本,其中整合了修复后的 React 服务器组件行为。他们的安全公告解释说,该漏洞源于 React 解码发往下游的有效负载的方式。 服务器功能端点 该补丁加强了这些解码程序。
其他依赖 RSC 的框架和插件作者——例如 Redwood、Waku 以及 Vite 和 Parcel 的 RSC 插件的维护者——已经开始发布 他们自己的指导和版本更新与已修补的版本保持一致。 react-server 码用户将被告知要遵循项目相关的公告和升级说明。
多家商业安保服务商也做出了回应。例如, Wiz 发布了一个预构建的查询和建议 在其威胁中心,客户可以检测其环境中的漏洞实例,而其他供应商则声称: 某些网络应用程序防火墙可能会阻止一些攻击尝试 如果 React 流量能够正确地通过它们进行路由。然而,维护者明确表示,配置调整或 WAF 规则并不能替代正确的补丁程序。
风险评估:谁最应该担心?
简短的答案是 任何在生产环境中运行 React 19 或依赖 RSC 框架的组织 应该认真对待这个问题,但某些部署模式尤其容易受到攻击。例如,面向公众的 Next.js 应用程序就很容易成为攻击目标,因为它们通常直接部署在互联网上,并且默认启用 RSC 功能。
大量使用 服务器功能、服务器驱动路由、预览或基于 RSC 的实验性功能 尤其容易受到攻击。在这些配置下,Flight 载荷更有可能被频繁处理,这给了攻击者许多测试载荷和改进攻击手段的机会。
共享或多租户环境会带来额外的安全隐患。如果一个存在漏洞的 React 服务能够广泛访问内部资源,那么…… 成功的RCE可能成为一个转折点 用于横向移动,深入网络或跨越客户边界。
分析人士还指出, React 的应用范围非常广泛——包括 Meta、Netflix、Airbnb、Shopify、沃尔玛等众多公司都在使用 React。这意味着实际影响不仅限于纯粹的技术风险计算。主要应用堆栈中的任何妥协都可能对用户、合作伙伴和下游生态系统产生连锁反应。
最后,即使是那些认为自己并不严重依赖RSC的球队也应该验证这一假设。因为 工具和样板可以悄无声息地启用 RSC 功能有些项目可能比其维护者乍一看意识到的更容易受到攻击。
React 和 Next.js 用户可采取的实用缓解措施
在各项建议中,有一点始终反复出现: 升级到已打补丁的版本是唯一彻底的解决方法。不更新受影响的软件包,就没有任何配置标志或细微调整可以完全消除底层不安全的反序列化行为。
对于直接使用 React 的组织,维护者建议 升级到更安全的版本(例如 19.0.1、19.1.2、19.2.1 或更新版本),以及更新后的版本。 react-server 以及相关的RSC软件包团队应查阅官方 React 安全公告,以确认其依赖树中哪些版本可以解决 CVE-2025-55182 漏洞。
Next.js 项目也应该如此。 请升级到已修复 CVE-2025-66478 漏洞的框架版本。因为即使是默认的 Next.js 构建也足以受到影响,所以即使是小型网站和内部仪表板也值得关注,而不仅仅是旗舰应用程序。
对于使用其他支持 RSC 的框架(例如 Redwood、Waku 或 Vite 和 Parcel 等打包工具的 RSC 插件)的环境,建议是: 密切关注供应商公告,并部署任何包含加固功能的更新。 react-server 履行 一旦可用,就应立即应用。在条件允许的情况下,应使用预发布环境来验证应用程序行为,然后再将修复程序部署到生产环境。 GitHub Actions 中的秘密管理.
在打补丁的同时,安全团队还可以…… 扫描存在漏洞的版本和暴露的端点. Wiz 等供应商提供的工具可以帮助识别易受攻击的 React 或 Next.js 实例的运行位置,而 Web 安全扫描器和资产清单可以绘制出哪些服务可以从互联网访问,哪些服务仅限于内部网络。
防守队员近期应该关注哪些方面
CVE-2025-55182 和 CVE-2025-66478 的披露揭示了一种常见的模式:广泛使用的组件中出现严重漏洞,补丁迅速发布,然后防御者和攻击者之间便展开了一场竞赛。在这种情况下,…… CVSS评分10.0,未经身份验证的远程代码执行,以及默认暴露 这使得比赛格外激烈。
安全研究人员预计下一阶段将涉及 快速逆向工程补丁 攻击者会利用此漏洞。即使没有发布详细的概念验证代码,对比新旧版本也能为熟练的攻击者提供足够的线索,从而重构出存在漏洞的逻辑。
各组织应预期会出现增长 正在扫描 React 和 Next.js 端点此外,还会发出更多针对服务器函数和 RSC URL 的探测性 HTTP 请求。日志和监控系统在此可以发挥作用:异常或格式错误的 Flight 有效负载、反序列化过程中的意外错误以及对特定端点的请求激增都可能是攻击尝试的早期迹象。 Burp 合作者 pueden ayudar 是一个再现载体。
一些防守队员也在重新审视 纵深防御控制 围绕他们的 React 部署,可能需要采取一些措施。例如,通过 Web 应用防火墙路由流量、收紧内部服务的网络暴露,以及对应用运行时权限实施更严格的最小权限配置,以防止安全漏洞自动授予广泛的访问权限。
已建议应急响应小组 做好应对可能涉及这些CVE的调查的准备。这可能包括更新剧本、确保相关日志保留足够长的时间以分析可疑行为,以及与服务提供商或安全厂商建立联系,以便在怀疑发生入侵时获得帮助。
研究人员、供应商和云服务提供商普遍传递的信息是一致的:虽然尚未公开证实存在大规模利用,但技术条件使其成为一个极具吸引力的目标,而且 延迟打补丁会显著增加风险窗口期。.
鉴于 React 中的 CVE-2025-55182 和 Next.js 中的 CVE-2025-66478 等严重远程代码执行漏洞,实际的教训显而易见: 假设易受攻击的 RSC 端点会被探测,优先升级到加固版本,并使用现有工具来定位和保护暴露的实例。对于严重依赖 React 及其周边框架的 Web 技术栈而言,现在及时进行补救措施可能会在以后减少紧急情况的发生。
