React Server Components 远程代码执行漏洞 (CVE-2025-55182)

Dec 08, 2025

# React Server Components 远程代码执行漏洞 (CVE-2025-55182)

更新日期: 2025年12月8日
严重级别: Critical (CVSS 10.0)
漏洞类型: 未经身份验证的远程代码执行 (RCE)

# 🚨 漏洞概述

2025年11月29日,安全研究员Lachlan Davidson披露了一个影响React Server Components的严重远程代码执行漏洞。该漏洞编号为 CVE-2025-55182,被评定为CVSS 10.0分(最高严重级别)。

# 漏洞原理

该漏洞存在于React处理React Server Function端点的方式中。攻击者可以通过精心构造的HTTP请求,利用React在反序列化发送到React Server Function端点的有效载荷时的缺陷,在服务器上执行任意代码

关键点

  • ✅ 即使您的应用没有实现任何React Server Function端点,如果支持React Server Components,仍可能受影响
  • ✅ 这是未经身份验证的漏洞,攻击者无需任何访问权限
  • ✅ 影响范围极广,包括Next.js、React Router等主流框架

# 🔍 影响范围

# 受影响的版本

React包 (以下版本的react-server-dom-*包):

  • React 19.0.0
  • React 19.1.0
  • React 19.1.1
  • React 19.2.0

受影响的具体包

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

# 受影响的框架

以下使用React Server Components的框架都会受到影响:

  • Next.js 15.x 和 16.x (使用App Router)
  • React Router (使用不稳定的RSC API)
  • Waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

# 安全的版本

React (已修复):

  • React 19.0.1+
  • React 19.1.2+
  • React 19.2.1+

Next.js (已修复):

  • Next.js 15.0.5+
  • Next.js 15.1.9+
  • Next.js 15.2.6+
  • Next.js 15.3.6+
  • Next.js 15.4.8+
  • Next.js 15.5.7+
  • Next.js 16.0.7+

# 🛠 自查方法

# 1. 检查当前版本 

# 检查React版本
npm list react react-dom

# 检查Next.js版本
npm list next

# 检查react-server-dom-*包版本
npm list react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack

# 2. 检查是否使用Server Components

如果您满足以下条件之一,可能受到影响:

  • 使用Next.js 15.x或16.x并启用App Router
  • 使用React 19.x版本
  • 使用任何支持React Server Components的框架
  • 在代码中导入了react-server-dom-*

# 3. 快速风险评估

您的项目如果满足以下条件,则是安全的

  • 不使用React Server Components
  • 不使用支持RSC的框架、bundler或插件
  • 使用的React版本低于19.0.0
  • 使用的Next.js版本低于15.0.0

# 🔧 修复方案

# 方案一:升级到安全版本 (推荐)

# 对于Next.js用户

根据您的Next.js版本选择相应的升级命令:

# Next.js 15.0.x用户
npm install next@15.0.5

# Next.js 15.1.x用户  
npm install next@15.1.9

# Next.js 15.2.x用户
npm install next@15.2.6

# Next.js 15.3.x用户
npm install next@15.3.6

# Next.js 15.4.x用户
npm install next@15.4.8

# Next.js 15.5.x用户
npm install next@15.5.7

# Next.js 16.0.x用户
npm install next@16.0.7

# 对于React Router用户

如果使用React Router的不稳定RSC API:

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

# 对于直接使用React的用户 

npm install react@19.0.1
npm install react-dom@19.0.1
# 或者升级到最新的安全版本
npm install react@latest
npm install react-dom@latest

# 方案二:降级到稳定版本

如果您使用的是Next.js 14.3.0-canary.77或更新的canary版本:

# 降级到最新的稳定版本
npm install next@14

# 方案三:临时缓解措施

⚠️ 警告:这些措施仅作为临时缓解,不能替代及时升级

一些托管服务商已实施临时缓解措施,但不应依赖这些措施来保护您的应用,仍需立即升级到修复版本。

# 📊 当前项目安全状况

根据对您项目的分析:

# ✅ 安全状态

您的当前项目配置是安全的

{
  "next": "^14.0.0",
  "react": "^18.2.55",
  "react-dom": "^18.2.55"
}

安全原因

  • ✅ 使用Next.js 14.x(非15.x/16.x)
  • ✅ 使用React 18.x(非19.x)
  • ✅ 不受CVE-2025-55182影响

# 💡 建议

虽然当前版本安全,但建议:

  1. 持续关注:定期检查依赖更新和安全公告
  2. 测试环境:在升级到新版本前在测试环境验证
  3. 依赖管理:考虑使用npm audit定期检查安全漏洞

# 🚀 验证修复

升级完成后,验证修复是否成功:

# 重新安装依赖
npm install

# 验证版本
npm list react react-dom next

# 运行安全审计
npm audit

# 测试应用
npm run build
npm run start

🔗 相关链接

如果您觉得这篇文章有帮助,欢迎关注我的博客获取更多技术安全资讯。