网络安全防护人员正在严阵以待,应对周三披露的 React Server 中出现的最高级别漏洞。React Server是一个开源软件包,被网站和云环境广泛使用。
该漏洞易于利用,黑客可以利用它向运行该漏洞的服务器执行恶意代码。目前,利用该漏洞的代码已公开。
React被嵌入到运行于服务器上的Web应用中,使远程设备能够更快地渲染JavaScript和内容,并减少所需的资源。据估计,约有6%的网站和39%的云环境使用React。当最终用户重新加载页面时,React允许服务器仅重新渲染已更改的部分,这一特性显著提升了性能并降低了服务器所需的计算资源。
评级高达10分的高危漏洞
网络安全公司Wiz表示,该漏洞只需一次HTTP 请求即可利用,并且在测试中可靠性接近100%。许多软件框架和库默认嵌入了React 实现。因此,即使应用程序没有显式使用React功能,它们仍然可能存在漏洞,因为集成层本身会调用存在缺陷的代码。
React的广泛应用(尤其是在云环境中)、漏洞的易利用性以及攻击者能够执行可控制服务器的代码,使得该漏洞的严重性评级高达10分,即最高分。在社交媒体上,安全专家和软件工程师敦促所有负责React相关应用程序的人员立即安装周三发布的更新。
一位研究人员写道: “我通常不会这么说,但请立刻修复这个漏洞。React的CVE编号(CVE-2025-55182)绝对是满分10分。”
React版本19.0.1、19.1.2或19.2.1包含存在漏洞的代码。已知受影响的第三方组件包括:
- Vite RSC 插件
- Parcel RSC 插件
- React Router RSC 预览
- RedwoodSDK
- Waku
- Next.js
据Wiz和另一家网络安全公司Aikido称,该漏洞编号为 CVE-2025-55182,存在于React服务器组件中的Flight协议中。Next.js已将自身软件包中的该漏洞编号为CVE-2025-66478。
该漏洞源于不安全的反序列化过程,即把字符串、字节流和其他“序列化”格式转换为代码中的对象或数据结构的过程。黑客可以利用这种不安全的反序列化机制,通过恶意载荷在服务器上执行恶意代码。已修复的 React 版本包含更严格的验证和更安全的反序列化行为。
Wiz解释说:“当服务器收到精心构造的、格式错误的有效载荷时,它无法正确验证其结构。这使得攻击者能够利用控制的数据影响服务器端的执行逻辑,从而导致特权JavaScript代码的执行。”
该公司补充道:
我们的实验表明,利用此漏洞的攻击成功率极高,接近 100%,并且可用于执行完整的远程代码。该攻击无需身份验证,且为远程攻击,只需向目标服务器发送一个精心构造的 HTTP 请求即可。它会影响常用框架的默认配置。
两家公司都建议管理员和开发者升级 React 及其依赖项。上述任何支持远程管理的框架和插件的用户都应联系维护者获取指导。Aikido 还建议管理员和开发者使用此链接扫描其代码库和代码仓库,查找任何使用 React 的地方。
Poc及检测存在可以参考:
https://github.com/Ashwesker/Blackash-CVE-2025-55182
https://github.com/fatguru/CVE-2025-55182-scanner
https://github.com/sickwell/CVE-2025-55182
https://github.com/ghe770mvp/RSC_Vuln_Lab
https://github.com/ejpir/CVE-2025-55182-poc