受影响的 React 框架和打包工具包括:next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。
React
11 月 29 日,Lachlan Davidson 披露了 React 中的一个安全漏洞,该漏洞使未经过验证的远程代码执行成为可能,原因是在 React 解码发送到 React 服务器函数端点的有效载荷时存在缺陷。
即使您的应用程序没有实现任何 React 服务器端函数端点,只要支持 React 服务器组件,仍然可能存在安全漏洞。
该漏洞被披露为 CVE-2025-55182,CVSS 评分为 10.0。
该漏洞存在于版本 19.0、19.1.0、19.1.1 和 19.2.0 中,已在版本 19.0.1、19.1.2 和 19.2.1 中修复了该问题。如果您使用上述任何版本的包,请立即升级到修复后的版本。
Next.js
该漏洞源自上游的 React 引起(CVE-2025-55182)。本公告(CVE-2025-66478)关注的是在使用 App Router 的 Next.js 应用中受到的影响。
易受攻击的 RSC 协议允许不可信的输入影响服务器端的执行流程。在特定情况下,攻击者可以通过构造请求,触发意外的服务器执行路径,从而在未修补的环境中实现远程代码执行。
受影响的 Next.js 版本范围: Next.js 15.x、16.x、Next.js 14.3.0-canary.77 及之后的canary版本
该漏洞已在以下已修复的 Next.js 版本中得到彻底解决:5.0.5、15.1.9、5.2.6、15.3.6、15.4.8、15.5.7、16.0.7
