React RSC 新漏洞 CVE-2025-55183 和 CVE-2025-55184 引发新的安全担忧

首页 » Python » React RSC 新漏洞 CVE-2025-55183 和 CVE-2025-55184 引发新的安全担忧

二 React Server Components (RSC) 中新披露的漏洞 这使得人们对现代 JavaScript 后端的安全性重新产生了关注。追踪如下： CVE-2025-55183 与 CVE-2025-55184这些缺陷虽然不能直接执行远程代码，但在合适的条件下利用它们，仍然可以通过拒绝服务和未经授权泄露后端源代码造成严重的破坏。

这些漏洞的出现是更广泛的漏洞问题的一部分。 由 React2Shell 严重漏洞 (CVE-2025-55182) 引发的安全审查该漏洞此前已在实际环境中遭到积极利用。虽然新发现的漏洞不如之前的 CVSS 10.0 漏洞严重，但它们凸显了一旦关键漏洞公开，研究人员和攻击者都会深入研究的现象。 相邻的RSC代码路径，用于搜索变体攻击技术.

背景：从 React2Shell 到新的 RSC 漏洞

随着防御者和 React 团队部署了针对 React2Shell 的缓解措施，安全研究人员开始探测更新后的代码，以检查这些修复是否有效。 绕过或扩展到新的漏洞利用原语. 这是业内普遍采用的标准做法：一旦修复了一个高度关键的漏洞，就会对附近的逻辑和接口进行彻底检查，以查找类似的模式。

正是在这项后续研究中， 记录了三个相关的RSC漏洞：一个拒绝服务漏洞 (CVE-2025-55184)、一个后续修复不完整但影响相同的漏洞 (CVE-2025-67779) 以及一个信息泄露漏洞 (CVE-2025-55183)。虽然 CVE-2025-67779 也与 RSC 安全相关，但目前的主要重点是了解…… CVE-2025-55183 和 CVE-2025-55184 的最新详细行为和影响.

除了上述技术分析之外，事件响应人员还发现，围绕 React2Shell 的攻击链不断演变，攻击者将远程代码执行 (RCE) 与后渗透有效载荷和横向移动相结合。这种持续不断的攻击活动使得各组织机构更加迫切地需要采取措施来应对这一威胁。 所有相关的RSC漏洞，包括CVE-2025-55183和CVE-2025-55184，都构成一个不断演变的单一攻击面。 而不是孤立的错误。

这些问题的发现和负责任的披露表明了更广泛的安全社区、供应商工程师和漏洞赏金猎人是如何共同努力的。 协作强化 React 等广泛使用的框架。即便敌对势力试图将同样的组件武器化。

CVE-2025-55184 技术细节：服务器功能中的拒绝服务漏洞

CVE-2025-55184 被描述为 身份验证前拒绝服务 (DoS) 漏洞 影响 React 服务器组件。问题的根源在于某些 RSC 包的处理方式。 从 HTTP 请求中反序列化有效负载 目标为服务器功能端点。

在存在漏洞的版本中，精心构造的请求可以触发攻击。 不安全的反序列化逻辑会陷入无限循环一旦此循环被激活，处理服务器功能的进程实际上就会挂起，导致应用程序无法再处理后续的 HTTP 流量或做出可靠的响应。

这一缺陷的影响尤其令人担忧，因为该缺陷可能被他人利用。 在强制执行任何身份验证之前换句话说，攻击者无需有效的凭据或提升的权限即可尝试利用漏洞；只需发送大量恶意请求即可占用服务器资源，并可能导致安全漏洞。 使 RSC 支持的服务离线.

根据已公布的评分，CVE-2025-55184 具有以下特征： CVSS 基本评分 7.5因此，它被归类为高危攻击。虽然它本身不提供代码执行，但针对后端堆栈关键部分的可靠拒绝服务攻击仍然可能造成严重后果。 可用性风险、服务级别协议违约及下游业务影响.

在打补丁的过程中，会生成一个单独的标识符， CVE-2025-67779该问题被分配给一个不完整的修复方案。后续的 CVE 修复了仍然存在的路径，这些路径仍然会产生相同的拒绝服务影响，这凸显了该问题是如何被忽视的。 修复复杂的反序列化错误可能需要多次迭代才能涵盖所有极端情况。.

CVE-2025-55183 技术细节：通过精心构造的请求泄露源代码

CVE-2025-55184 主要关注可用性， CVE-2025-55183 与保密性有关这种漏洞被描述为 React 服务器组件中的信息泄露缺陷 这可能会导致某些服务器函数的源代码返回给远程客户端。

在存在漏洞的版本中，精心设计的 HTTP 请求发送到暴露的服务器函数可能会触发服务器端异常行为。 响应目标服务器函数的底层代码这种泄露可能会暴露实现细节、业务逻辑、硬编码字符串或其他敏感信息，而这些信息通常是组织严格保存在服务器端的。

然而，利用 CVE-2025-55183 漏洞需要满足一个特定的前提条件：必须至少存在一个 服务器函数，其接口公开一个已转换为字符串格式的参数无论是显式还是隐式。只有当应用程序的 RSC 使用中存在这种模式时，潜在攻击者才能利用此漏洞。

安全评级 CVE-2025-55183 的 CVSS 评分为 5.3将其列为中等严重程度。即便如此，源代码泄露也绝非无害。了解内部函数名称、参数、错误处理和数据流等信息都可能造成严重后果。 可以帮助对手制定更有针对性的攻击策略。发现隐藏的弱点，并设计更接近真实系统行为的网络钓鱼或社会工程攻击。

除了任何直接的利用价值之外，泄露的服务器函数代码所带来的可见性可以有效地将应用程序变成它自己的。 未来入侵尝试的蓝图尤其是在多个服务中出现相同模式的环境中。

React RSC 生态系统中受影响的软件包和版本

新发现的漏洞影响一系列 React Server Components 集成包具体而言，受影响的是将 RSC 集成到构建和运行时工具中的实现。受影响的模块包括：

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

CVE-2025-55184 和 CVE-2025-55183 均影响多个 19.x 版本。受影响的版本集包括： 19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0和19.2.1在生产或测试环境中运行这些版本的开发团队需要假设他们的实例 可能容易受到拒绝服务攻击或源代码泄露。 如果暴露于不受信任的流量中。

此外，不完整的修复方案由以下因素构成： CVE-2025-67779 影响版本 19.0.2，19.1.3和19.2.2虽然此标识符与 CVE-2025-55184 具有相同的 DoS 行为，但它也表明，即使升级后的环境如果使用了这些中间版本，也可能仍然部分暴露在外。

受影响的版本范围表明了这一点 RSC的快速迭代周期 这可能会使补丁管理变得复杂。那些偶尔升级或锁定特定次要版本的组织可能不会意识到新发布的版本处于受影响的补丁范围内，从而导致 仔细的版本审核至关重要.

鉴于 React 生态系统的流行以及服务器组件在提升性能和开发者体验方面日益普及，可能受到影响的应用程序数量庞大。 CVE-2025-55183和CVE-2025-55184 可能涵盖广泛的行业和部署模式。

已修复版本和推荐升级路径

为了解决这些漏洞，React 团队发布了 所有三个受影响的RSC软件包的补丁版本用户应尽快迁移到以下已修复的版本：

• 19.0.3
• 19.1.4
• 19.2.3

维护人员表示，这些更新 完全缓解 CVE-2025-55184 和相关 CVE-2025-67779 所体现的拒绝服务问题此外，还存在 CVE-2025-55183 中描述的信息泄露风险。至关重要的是，更早的 React2Shell 漏洞向量 (CVE-2025-55182) 也被 19.x 分支中发布的更广泛的补丁集所阻止。

负责生产部署的团队应将此视为 高优先级维护任务尤其考虑到合法研究人员和恶意行为者都在积极探索 RSC 漏洞。如果无法立即部署最新的次要版本，组织至少应确保 他们并没有被困在任何已列出的存在漏洞的版本中。.

与往常一样，库的升级应该与以下事项齐头并进： 测试和分阶段推广. 在关键服务器功能周围添加回归检查，在升级后监控错误率，并审查日志中是否存在异常的反序列化或序列化活动，可以帮助确保新版本在实际流量下按预期运行。

补丁的迅速发布凸显了 React 团队的立场，即多轮披露并不一定意味着修复失败，而是…… 健康的应对循环，其中防守深度会随着时间的推移而提高 随着更多极端情况和变体路径被发现和解决。

漏洞是如何被发现和报告的

新近记录的缺陷反映了双方持续的合作 独立安全研究人员和 Meta 的漏洞赏金计划拒绝服务漏洞 CVE-2025-55184 和后续漏洞 CVE-2025-67779 已由……报告。 RyotaK 和 Shinsaku Nomura，他因发现恶意载荷如何使 RSC 进入无响应状态而获得赞誉。

信息泄露漏洞 CVE-2025-55183被披露 安德鲁·麦克弗森他重点介绍了服务器函数在收到精心构造的 HTTP 请求时可能返回其自身源代码的情况。

这些发现是在研究人员积极尝试……的过程中出现的。 对现有的 CVE-2025-55182 缓解措施进行压力测试这样做，他们有效地复制了攻击者可能进行的分析工作，但前提是必须遵循负责任的报告和协调的补丁分发框架。

React团队已公开承认存在此类模式。 软件行业的普遍现象不仅仅是在 JavaScript 生态系统中。一旦一个关键漏洞引起关注，开发者和攻击者都会寻找解决方案。 “变体”漏洞利用策略 沿着相邻的代码路径，有时会揭示出以前忽略的弱点。

维护者旨在通过及时、透明地解决 CVE-2025-55183、CVE-2025-55184 和 CVE-2025-67779 漏洞，来维护安全系统。 领先于潜在的武器化威胁 同时为组织提供关于如何保护其 React 服务器组件部署的明确指导。

风险背景：为什么非远程代码执行漏洞仍然重要

尽管这些新漏洞本身并不赋予攻击者直接远程代码执行权限，但它们仍然可能…… 更广泛的入侵工具包中的高价值工具像 CVE-2025-55184 这样的拒绝服务漏洞可用于扰乱运营、作为烟幕弹分散防御者的注意力，或探测组织基础设施在异常负载下的弹性。

与此同时，源代码暴露途径，例如 CVE-2025-55183 可为侦察活动提供信息访问服务器函数内部文本可以揭示请求的身份验证方式、影响数据库访问的参数、错误的处理方式以及第三方服务的集成位置。这种可见性对于试图策划更精准或更隐蔽的攻击的攻击者来说至关重要。

在已经面临后果的环境中 React2Shell (CVE-2025-55182)这些额外的弱点增加了整体威胁形势的复杂性。防御者不仅需要考虑立即防范远程代码执行攻击，还需要考虑…… 恶意输入下RSC行为的稳定性和保密性.

从治理角度来看，这种情况凸显了为什么 漏洞管理程序需要超越那些引人注目的 CVSS 10.0 评分。影响可用性和信息泄露的中高危漏洞仍然可能至关重要，尤其是在实际攻击链中与其他技术结合使用时。

最终，这些进展强化了这样一个观点：维护安全的RSC部署并非一劳永逸，而是一个持续的过程。 对服务器功能的设计和公开方式进行修补、监控、测试和审查 随着时间的推移。

随着 React2Shell 危机及其后续发现的尘埃落定，使用 React 服务器组件的组织正面临着严峻的挑战。 重新检查其依赖项版本，加强其服务器端接口，并快速响应上游安全公告。通过与最新的补丁版本保持一致，并将安全检查集成到开发工作流程中，团队可以显著减少攻击者针对 CVE-2025-55183、CVE-2025-55184 和相关 RSC 漏洞的攻击机会窗口。