React与Next.js中的关键RSC漏洞使服务器面临远程代码执行风险

最新推荐文章于 2025-12-10 20:37:40 发布

原创最新推荐文章于 2025-12-10 20:37:40 发布 · 979 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#javascript #react.js #服务器 #人工智能 #科技

科技专栏收录该内容

1034 篇文章

订阅专栏

React与Next.js中的关键RSC漏洞使服务器面临远程代码执行风险

12月3日，React基金会针对React服务器组件(RSC)中一个被列为CVE-2025-55182的关键漏洞发布紧急公告，该漏洞获得CVSS最高严重性评分10分。该漏洞由安全研究员Lachlan Davidson于11月29日报告，影响react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack这三个核心包的19.0、19.1.0、19.1.1及19.2.0版本。

被命名为"React2Shell"的漏洞若被利用，可使远程攻击者在服务器上执行任意命令。美国国家标准与技术研究院(NIST)随后认定Node.js中最初被视为独立问题的CVE-2025-66478实为同一底层机制的重复案例。调查该漏洞的Wiz公司指出，其获得CVSS最高评级的两个关键因素在于：该漏洞适用于所有配置环境，且仅需构造特殊的HTTP请求即可触发。

漏洞根源在于RSC处理传入请求时存在逻辑反序列化错误。未经认证的攻击者可以向任何服务器功能端点发送恶意HTTP负载；在React反序列化阶段，这将导致后端执行任意JavaScript代码。React基金会暂未公布更多技术细节，等待补丁更广泛分发。

该漏洞影响范围涵盖所有基于RSC构建的库，包括Vite RSC、Parcel RSC、React Router RSC预览版、RedwoodJS和Waku，开发者须密切关注更新。安全公司Endor Labs警告称，默认框架配置会立即遭受攻击，强调必须紧急升级受影响组件至已修复版本(19.0.1、19.1.2、19.2.1)。

在部署补丁前，强烈建议启用Web应用防火墙(WAF)规则。主要云服务商已迅速响应：Cloudflare于12月3日宣布更新其WAF以保护客户，谷歌云Armor、亚马逊AWS等公司也发布了类似的临时防火墙缓解措施。各方均强调这些防御规则仅为临时措施，及时更新存在漏洞的React包才是根本解决方案。

PeaZip 10.8扩展了压缩包预览功能，增强了对RAR和TAR压缩包的处理能力，以及其他改进

PeaZip 10.8作为跨平台文件管理和压缩工具的最新版本正式发布。本次更新对压缩包预览功能进行了重大改进，用户现在能够预览更多格式压缩包中的文件内容。既可通过外部文件工具实现预览，也可使用内置图像查看器完成操作，显著拓展了用户与归档内容的交互方式。

新版本在打开压缩包时新增了文件头"魔数字节"分析功能，该技术会收集每个压缩包的技术信息，并将这些详情与标准归档统计数据一同醒目地显示在应用程序标题栏中。这些新增特性简化了诊断流程，帮助用户快速确认文件类型。

此次发布还包含对RAR和TAR压缩包处理的优化，旨在提供更好的性能和兼容性。作为配套升级，PeaZip 10.8将后端组件更新至Pea 1.28和Brotli 1.2.0版本，可能带来速度提升和压缩文件支持改进。

针对开发者群体，源代码现采用Lazarus 4.x作为编译目标，同时保持对Lazarus 3.x和2.x版本的兼容性，确保不同构建环境下的流畅使用体验。

Navidrome 0.59新增选择性文件夹扫描、播放记录同步、两款新主题等功能

Navidrome 0.59为自托管音乐流媒体服务带来关键升级，新增选择性文件夹扫描功能并改进了文件系统监控机制。这些改进使新老用户都能获得更可靠高效的音乐库管理体验。

在核心扫描器更新基础上，本次版本首次内置了播放记录追踪功能。系统现可记录用户收听习惯，这些数据将用于未来推出的个性化收听报告和高级可视化功能。

针对管理员用户，新增命令行工具简化了账户管理流程。通过终端直接操作用户账户的功能，显著降低了自托管用户的维护难度。

在用户体验方面，新增SquiddiesGlass和AMusic两款视觉主题。其中AMusic主题借鉴Apple Music设计风格，为偏好该风格的用户提供熟悉的界面体验。

其他改进包括常规错误修复、扩展翻译支持以及针对高级使用场景的新配置选项。这些更新共同提升了系统的稳定性和操作灵活性。

WebStorm 2025.3 带来类型引擎、单体仓库、AI助手及远程调试的更新

JetBrains发布WebStorm 2025.3版本，逐步推出基于服务的类型引擎，旨在为开发者提供更精准的TypeScript类型评估。同时，模块解析与单体仓库工作流获得显著改进，尤其利好采用pnpm和Nx工作区的项目。

在技术升级基础上，集成AI助手现支持单聊窗口中同时使用Claude代理和Junie，扩展了交互式帮助与代码辅助功能。针对JavaScript开发者的远程调试能力得到增强，新增对Windows子系统Linux版、Docker及开发容器的支持。远程会话期间本地启动浏览器的新选项简化了网页项目测试与检查流程。

前端开发者现可体验符合Webref标准的CSS语法支持，包括round()、rem()、mod()等最新规范特性与函数。统一的JavaScript运行时设置页面整合了Node.js、Bun和Deno的配置，使环境设置更为直观。此外，对Vitest 4的支持确保能正确发现并执行基于最新测试框架版本的测试。

本次更新还包含针对TypeScript、Angular、Vue、Astro和Prettier的一系列修复与体验优化，进一步提升了用户使用体验。