核弹级,React 爆出满分漏洞!

最新推荐文章于 2025-12-09 16:30:14 发布
原创 最新推荐文章于 2025-12-09 16:30:14 发布 · 891 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#react.js #前端 #前端框架 #javascript #ecmascript

图片

新钛云服已累计为您分享871篇技术干货

图片

今天爆出来一个严重漏洞,安全圈已刷屏。

漏洞达到CVSS最高级别(10.0分),攻击者无需认证、无需登录、无需交互。仅需发送一个精心构造的POST请求,即可在服务器上直接执行任意代码 。

漏洞来自于React Server Components(RSC),官方已确认。

React Server Components是 React 团队推出的新一代服务端渲染方案,核心目标是在不牺牲客户端交互体验的前提下,最大化利用服务端能力,如直接访问数据库、避免敏感数据暴露,同时优化应用的性能、体积和加载速度。已经被Next.js等主流框架采用,广泛应用于电商、新闻、内容网站。

以下是RSC典型使用场景:

  • 内容型/数据密集型场景,如电商详情页、后台管理系统、资讯门户、文档平台、数据仪表盘等;

  • 需保护敏感逻辑/数据的场景,如支付页面、用户隐私数据展示、后台权限校验、涉及密钥/算法的业务

  • 大型交互型应用场景,如社交平台(朋友圈 + 点赞评论)、电商购物车

  • 低性能设备/弱网环境适配场景,如移动端 H5、物联网设备端页面

漏洞危害:

攻击者无需认证、无需登录、无需交互,仅需向公开服务器端点发送一个精心构造的POST 请求,即可在服务器上直接执行任意代码 。

可能导致: 

  • 服务器完全失陷(反向 Shell) 

  • 数据库凭证、环境变量、密钥全部泄露 

  • 内网横向移动、进一步攻击其他系统 

  • 数据被加密勒索或直接删除 

  • 业务长时间中断、声誉严重受损 

漏洞原理:

React Server Components(RSC)在反序列化客户端提交的 “Flight” 协议数据时存在不安全的反序列化缺陷,导致攻击者可注入并执行任意 JavaScript 代码。

根据漏洞原理,以下情况不受影响:

  • 只是纯前端页面

  • 使用React Server Components(RSC)

  • 前后端分离

受影响范围

项目受影响版本已修复版本

react-server-dom-webpack

19.0, 19.1.0, 19.1.1, 19.2.0

19.0.1, 19.1.2, 19.2.1

react-server-dom-parcel

19.0, 19.1.0, 19.1.1, 19.2.0

19.0.1, 19.1.2, 19.2.1

react-server-dom-turbopack

9.0, 19.1.0, 19.1.1, 19.2.0

19.0.1, 19.1.2, 19.2.1

Next.js(使用 App Router)

≥14.3.0-canary.77, 全部 15.x, 全部 16.x

16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5

其他捆绑 RSC 的库

Vite RSC 插件、Parcel RSC 插件、React Router RSC 预览版、RedwoodJS、Waku等

升级至各自最新版本

解决方案:

官方已发布安全补丁,请及时更新至最新版本:

# React 项目

npm update react react-dom react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack

# Next.js 项目(推荐直接升级到最新稳定版)

npm update next@latest

# 或手动指定安全版本,例如:

npm install next@16.0.7   # 或 15.5.7 等

官方升级方法:

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

漏洞验证POC:

https://github.com/ejpir/CVE-2025-55182-poc

建议立刻自查,并进行修复!

    推荐阅读   



    推荐视频    

新钛云服
关注
react-scripts:5.0.1漏洞解决
qq_42327090的博客
07-03 1831
本文主要记录在解决react-scripts5.0.1版本的安全漏洞的过程中,怎么排查,以及怎么解决的过程,以及记录了中间用到的npm 指令
小白快速上手React 看这篇就够了!!(基础篇)
xiaolouuuu的博客
11-23 6650
本篇可以快速了解React的基础语法,便于遗忘时快速复习,里面的小案例通俗易懂,没有废话,只有简单、简单、还是简单!
第一个大冤种来了!修复React漏洞,导致Cloudflare全球宕机25分钟
weixin_44829437的博客
12-07 835
在 Cloudflare 老版本的代理程序(叫 FL1)中,有一个隐藏了多年的 Bug。在 12 月 5 日的事故报告中,Cloudflare 坦承:"我们知道这些改进本可以帮助防止今天的事故,但遗憾的是,我们还没有完成部署。Cloudflare 在事故后不到 24 小时就发布了详细的技术报告,完整解释了问题的原因、影响范围、时间线,甚至贴出了出错的代码。比如这次的问题,如果用 Rust 这样的强类型语言,编译器在编译时就会发现"访问可能不存在的对象"这个错误,根本不会让代码运行。这个改动本身没问题。
高危预警!React核心组件曝CVSS 9.8漏洞,数百万开发者面临远程代码执行风险
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-06 1014
React Native高危漏洞CVE-2025-11953曝光:全球开发环境面临远程代码执行风险。该漏洞存在于@react-native-community/cli-server-api组件中,CVSS评分9.8,影响4.8.0至20.0.0-alpha.2版本,每周下载量超200万次。攻击者无需认证即可通过网络访问触发漏洞,可能控制开发设备、窃取代码。建议立即升至20.0.0+版本或通过限制服务器访问权限进行应急缓解。JFrog强调需加强开发环境安全防护,建立长期依赖管理机制,包括定期审计、输入净化和
一些 React 项目中可能存在的安全隐患
GoldenaArcher的博客
10-14 2040
公司要求完成一系列的安全课程(Security),其中正好有 React 相关的,就上完了这个课,并且发现了以前一些漏掉的问题,在此总结一下。
网络安全漏洞React 框架分析
anquan2233的博客
12-04 1455
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
提升 React 应用的安全性:从这几点入手
bluemoon_0的博客
02-15 809
提升 React 应用的安全性:从这几点入手
React Router和Remix中的CVE-2025-31137漏洞详解与修复指南
W11929311582的博客
04-18 813
CVE-2025-31137是一个影响React Router(7.0.0到7.4.0版本)和Remix框架(2.11.1到2.16.2版本)中Express适配器的安全漏洞。该漏洞允许攻击者通过伪造HTTP请求头中的Host或字段,插入恶意的URL路径,从而操控请求的URL,导致未授权的重定向或访问敏感资源CVE-2025-31137是React Router和Remix Express适配器中的高危URL路径注入漏洞漏洞利用了Host和请求头中端口部分未校验的缺陷。
2024 高前端面试题之 React 「精选篇」
XH_jing的博客
01-30 2643
2024 前端面试题之React「精选篇」
react动态二/三路由操作
Debug的博客
08-30 2243
路由就不写了,比较简单,下面是在一页面mvvm中进行写入二及三路由页面 app.js中进行路由配置 <Route exact path={"/mvvm"} component={Mvvm} /> <Route exact path={`/mvvm/:page`} component={Mvvm} /> <Route path={`/mvvm/:page/:id`} component={Mvvm} /> 开始配置二路由 import React, {
面试篇:(十一)React 性能优化 - 2024 年前端面试题解析
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
10-31 2112
回答:React 性能优化的基本原则包括以下几点:回答: 是一个高阶组件,允许你通过深度比较 props 来优化函数组件的性能。当 props 没有变化时, 可以避免重新渲染。 在父组件中使用 时,如果 没有变化,它将不会重新渲染。回答:在类组件中, 方法可以控制组件是否重新渲染。返回 将阻止组件更新。 通过实现此方法,只有当 变化时组件才会重新渲染。回答:懒加载是指按需加载组件,以减少初始加载时间。可以使用 和 实现懒加载。 通过这种方式, 只有在被需要时才会被加载。回答:优化列表渲染性能可以
React重大安全漏洞:服务器代码或被远程操控
feihanim的博客
12-05 916
近期发现了一个严重的安全漏洞 CVE-2025-55182,影响 React 19 及其相关框架(如 Next.js)。该漏洞允许攻击者通过不安全的反序列化在服务器上执行任意代码。Wiz 安全研究数据显示,39% 的云环境存在此漏洞。安全团队应立即升 React 及相关依赖,以确保系统安全。
利用脚本注入漏洞攻击ReactJS应用程序
weixin_33827590的博客
08-01 660
ReactJS是一款能够帮助开发者构建用户接口的热门JavaScript库。在它的帮助下,开发者可以构建出内容丰富的客户端或Web应用,并且提前加载内容以提供更好的用户体验。 从设计角度来看,只要你能够按照开发标准来使用ReactJS的话,它其实是非常安全的。但是在网络安全领域中,没有任何东西是绝对安全的,而错误的编程实践方式将导致类似脚本注入漏洞之类...
React曝“炸弹漏洞(CVE-2025-55182),CVSS 10.0分!已有在野利用,企业如何紧急防御
最新发布
NOVAnet2023的博客
12-09 611
CVE-2025-55182 是 React 生态中罕见的高危漏洞,影响范围广、利用简单,企业需高度重视。建议优先升修复,并结合云WAF等防护手段构建纵深防御体系。
React CVE-2025-55182漏洞排查与修复指南
jj1245_的博客
12-04 1985
应对此漏洞,最核心且唯一的根治方法是立即将React核心包及相关框架到官方指定的安全版本,并重新构建部署。整个过程应作为最高优先的安全事件处理。
React 有史以来最严重的一次核弹安全漏洞,请速查!
weixin_44829437的博客
12-06 851
当服务器端的 React 尝试处理这个请求时,它不会像预期那样报错或拒绝,而是被诱导执行了攻击者指定的代码。(CVE-2025-55182),并援引专家观点称其为“万能钥匙” (Master Key) 别的攻击——攻击者只需发送一个 HTTP 请求即可控制服务器,无需登录。攻击者不说“保存数据”,而是发送了一段加密的指令,类似于“把家里大门的钥匙给我配一把”。允许我们在服务器上渲染组件。(服务端函数)请求的方式上。的情况下,通过发送精心构造的恶意请求,直接在你的服务器上**执行任意代码 (RCE)**。
最新系统漏洞--React Native拒绝服务漏洞
weixin_48555088的博客
10-17 940
最新系统漏洞2021年7月15日 受影响系统: React Native React Native 0.59.0 描述: CVE(CAN) ID: CVE-2020-1920 React Native将原生开发的最佳部分与React相结合,致力于成为构建用户界面的顶尖JavaScript框架React Native 0.59.0版本的validateBaseUrl函数存在拒绝服务漏洞。攻击者可利用该漏洞导致应用程序响应迟钝或崩溃。 <**> 建议: 厂商补丁: React Native 目前
React 爆出 CVSS 10.0 满分漏洞,你的应用可能正在“裸奔”!
weixin_44829437的博客
12-04 913
当服务器端的 React 尝试处理这个请求时,它不会像预期那样报错或拒绝,而是被诱导执行了攻击者指定的代码。攻击者不说“保存数据”,而是发送了一段加密的指令,类似于“把家里大门的钥匙给我配一把”。它通常非常隐蔽,因为问题不出在你的业务代码逻辑上,而是出在底层框架如何理解和翻译数据上。的情况下,通过发送精心构造的恶意请求,直接在你的服务器上**执行任意代码 (RCE)**。:解码器在翻译这段指令的过程中,不知不觉地就真的执行了“配钥匙”的操作。核心实现中的严重漏洞被披露,其 CVSS 风险评分达到了罕见的。
ReactTable:快速轻量React数据表格组件解析
标题为“react-ReactTable一个快速轻量固执己见的React数据表格”,简明扼要地描述了React Table的核心特性。该组件是针对React框架设计的一个表格解决方案,其特点在于: - **快速**:性能是React Table设计的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值