2025年12月3日,React官方披露了一个影响React Server Components(RSC)的严重安全漏洞CVE-2025-55182。该漏洞源于”Flight”协议实现中的不安全反序列化,允许未认证攻击者通过发送特制HTTP请求,在目标服务器上执行任意代码。目前公开PoC已在GitHub传播,且侦测到在野利用,风险等级为极高。所有使用React 19 RSC功能的应用均需立即排查并采取紧急修复措施。
漏洞基本信息
漏洞名称:CVE-2025-55182
披露时间:2025年12月03日
漏洞类型:不安全反序列化 / 远程代码执行(RCE)
CVSS评分:9.8(Critical)
利用条件:无需认证,远程利用
利用难度:低(已有公开PoC)
影响组件:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
受影响版本:19.0.0、19.1.0、19.1.1、19.2.0
影响范围与危害
该漏洞影响所有使用React Server Components或Server Actions功能的应用,特别是基于Next.js 16.0.6等框架构建并开启RSC特性的项目。攻击者只需向暴露在公网的React Server Function端点发送精心构造的Flight payload,即可绕过安全检查,触发服务端原型链污染,最终实现:
- 任意代码执行:完全控制服务器
- 数据泄露:访问敏感业务数据与配置
- 服务中断:植入后门或破坏业务逻辑
- 横向渗透:以内网权限发起进一步攻击
不受影响的场景:
- 未启用React Server Components的传统React应用
- 纯客户端渲染(CSR)项目
- React 18.x及更早版本
技术原理分析
漏洞根源在于React Server Components的”Flight”协议反序列化实现中,路径解析逻辑未通过hasOwnProperty限制属性访问范围,导致攻击者可以沿原型链访问__proto__、constructor等敏感属性。
攻击流程简述:
- 攻击者构造包含恶意原型链引用的Flight payload
- 向/react-server-function或类似端点发送HTTP请求
- 服务端解析payload时触发原型链污染
- 反序列化过程执行攻击者注入的构造器代码
- 成功实现远程代码执行
排查方式
快速自查命令:
# 检查项目直接依赖
npm ls react-server-dom-webpack
npm ls react-server-dom-parcel
npm ls react-server-dom-turbopack# 或检查lockfile中的间接依赖
grep “react-server-dom” package-lock.json
grep “react-server-dom” yarn.lock
grep “react-server-dom” pnpm-lock.yaml
影响判定:
- 版本在19.0.0-19.2.0范围内 → 存在风险,立即修复
- 未使用RSC功能 → 不受影响
- 不确定是否引入 → 检查lockfile,优先升级
总结与建议
1、风险等级:极高,该漏洞利用门槛低、影响面广,建议视为P0级别安全事件处理。
2、影响确认:即使未直接使用RSC,也可能通过依赖链间接引入,务必全面排查lockfile。
3、应急窗口:已公开PoC和在野利用,修复窗口期极短,建议24小时内完成升级。
4、长期防护:
- 建立React及生态组件的版本追踪机制
- 生产环境开启自动安全扫描
- 最小化暴露Server Function端点,添加WAF防护
参考链接
[1] React官方安全公告:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
[2] 公开PoC代码:https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
[3] 技术深度分析:https://keenlab.tencent.com/zh/2025/12/08/2025-CVE-2025-55182/
极牛网精选文章《React 远程代码执行漏洞(CVE-2025-55182)安全简报》文中所述为作者独立观点,不代表极牛网立场。如有侵权请联系删除。如若转载请注明出处:https://geeknb.com/28489.html
微信公众号 
微信小程序 
