React服务器组件中存在拒绝服务攻击和源代码暴露的风险鉴于新披露的漏洞的严重性，React 团队建议立即升级

Yummy 😋

React与Netx.js组件中存在未授权的远程代码执行漏洞受影响的 React 框架和打包工具包括：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。 React 11 月 29 日，Lachlan Davidson 披露了 React 中的一个安全漏洞，该漏洞使未经过验证的远程代码执行成为可能，原因是在 React 解码发送到 React 服务器函数端点的有效载荷时存在缺陷。即使您的应用程序没有实现任何 React 服务器端函数端点，只要支持…

React服务器组件中存在拒绝服务攻击和源代码暴露的风险

鉴于新披露的漏洞的严重性，React 团队建议立即升级。

安全研究人员在试图利用上周关键漏洞的补丁时，又发现了 React 服务器组件中的另外两个漏洞并予以披露。

新揭示的漏洞包括：

• 拒绝服务 - 高严重性漏洞：CVE-2025-55184 和 CVE-2025-67779（CVSS 7.5）

• 源代码泄露问题-中等严重性：CVE-2025-55183（CVSS 5.3）

这些新漏洞不允许远程执行代码。React2Shell 的补丁仍然有效，能够防止远程代码执行的攻击。

如果你上周已经修补了关键安全漏洞，那么现在还需要再次更新。

如果你升级到了 19.0.2、19.1.3 和 19.2.2 版本，这些版本尚不完整，你还需要再次进行更新。

🗒 标签: #React
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot