安全研究人员发现了 React Server Components 和 Next.js App Router 中严重的未认证远程代码执行漏洞, exploit 成功率接近 100%。39% 的云环境运行着存在漏洞的版本,44% 的环境公开暴露了 Next.js 实例,立即打补丁至关重要。各组织应升级到已修复版本,并使用 StepSecurity 的 npm 包搜索功能和威胁中心来识别和监控受影响的依赖项。
React 核心团队和 Vercel 披露了影响 React Server Components (RSC) 和 Next.js App Router 的关键安全漏洞,这些漏洞可通过精心构造的 HTTP 请求实现未认证的远程代码执行。这些漏洞被追踪为 CVE-2025-55182 (React) 和 CVE-2025-66478 (Next.js),对使用 React Server Components 的应用构成直接威胁。
理解漏洞
根本原因在于 React Server Components "Flight" 协议中的不安全反序列化。当服务器处理 RSC 载荷时,不充分的输入验证允许攻击者控制的数据影响服务器端执行逻辑。根据 React 核心团队的披露,这创造了一个在测试环境中 exploit 成功率接近 100% 的可靠攻击向量。
鉴于其影响范围,此漏洞尤其令人担忧。Wiz 的研究表明,39% 的云环境包含存在漏洞版本的 Next.js 或 React 实例,而 44% 的云环境公开暴露了 Next.js 实例——为威胁行为者创造了庞大的攻击面。
受影响的版本
影响
使用受影响版本 React Server Components 实现的应用程序可能会以允许攻击者执行远程代码的方式处理不受信任的输入。该漏洞存在于以下 React Server Components 包中:
- react-server-dom-parcel(19.0.0、19.1.0、19.1.1 和 19.2.0)
- react-server-dom-webpack(19.0.0、19.1.0、19.1.1 和 19.2.0)
- react-server-dom-turbopack(19.0.0、19.1.0、19.1.1 和 19.2.0)
这些包嵌入在以下框架和打包工具中:
- Next.js 使用 App Router,版本 ≥14.3.0-canary.77、≥15 及 ≥16
- 其他嵌入或依赖 React Server Components 实现的框架和插件,包括 Vite、Parcel、React Router、RedwoodSDK 和 Waku
React:
- 19.0(在 19.0.1 中修复)
- 19.1(在 19.1.2 中修复)
- 19.2(在 19.2.1 中修复)
Next.js App Router:
- 14.3.0-canary 至 14.3.0-canary.87(在 14.3.0-canary.88 中修复)
- 15.0.0 至 15.0.4(在 15.0.5 中修复)
- 15.1.0 至 15.1.8(在 15.1.9 中修复)
- 15.2.0 至 15.2.5(在 15.2.6 中修复)
- 15.3.0 至 15.3.5(在 15.3.6 中修复)
- 15.4.0 至 15.4.7(在 15.4.8 中修复)
- 15.5.0 至 15.5.6(在 15.5.7 中修复)
- 16.0.0 至 16.0.6(在 16.0.7 中修复)
识别您的暴露面
StepSecurity 提供工具,可帮助您快速识别组织内所有受影响的包:
NPM 包搜索:使用我们的租户级包搜索功能,在您的代码库中定位所有受影响的 React 和 Next.js 版本实例。
威胁中心监控:StepSecurity 的威胁中心为 CVE-2025-55182 等关键漏洞提供实时告警,使您能够在依赖链中出现新威胁时快速响应。
立即修复步骤
- 立即升级到已修复版本的 React(19.0.1、19.1.2 或 19.2.1)和 Next.js(请参见上表)
- 使用
npm list react和npm list next验证您的升级 - 审查可能捆绑了存在漏洞的 React 版本的间接依赖
- 在应用程序日志中监控 exploit 尝试
关于 NPM 冷却期检查的重要说明
StepSecurity NPM 冷却期检查通过标记最近发布的包来帮助防御供应链攻击,这些已修复版本最初会无法通过检查。StepSecurity 研究团队已审查并验证了这些安全补丁是安全的。您可以通过 StepSecurity 平台批准这些特定版本的失败冷却期检查。
其他资源
有关详细技术分析和概念验证信息: