Yummy 😋

React与Netx.js组件中存在未授权的远程代码执行漏洞 受影响的 React 框架和打包工具包括：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。 React 11 月 29 日，Lachlan Davidson 披露了 React 中的一个安全漏洞，该漏洞使未经过验证的远程代码执行成为可能，原因是在 React 解码发送到 React 服务器函数端点的有效载荷时存在缺陷。 即使您的应用程序没有实现任何 React 服务器端函数端点，只要支持…

React服务器组件中存在拒绝服务攻击和源代码暴露的风险

鉴于新披露的漏洞的严重性，React 团队建议立即升级。

安全研究人员在试图利用上周关键漏洞的补丁时，又发现了 React 服务器组件中的另外两个漏洞并予以披露。

新揭示的漏洞包括：

• 拒绝服务 - 高严重性漏洞：CVE-2025-55184 和 CVE-2025-67779（CVSS 7.5）

• 源代码泄露问题-中等严重性：CVE-2025-55183（CVSS 5.3）

这些新漏洞不允许远程执行代码。React2Shell 的补丁仍然有效，能够防止远程代码执行的攻击。

如果你上周已经修补了关键安全漏洞，那么现在还需要再次更新。

如果你升级到了 19.0.2、19.1.3 和 19.2.2 版本，这些版本尚不完整，你还需要再次进行更新。

🗒 标签: #React
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

React与Netx.js组件中存在未授权的远程代码执行漏洞

受影响的 React 框架和打包工具包括：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。

React
11 月 29 日，Lachlan Davidson 披露了 React 中的一个安全漏洞，该漏洞使未经过验证的远程代码执行成为可能，原因是在 React 解码发送到 React 服务器函数端点的有效载荷时存在缺陷。

即使您的应用程序没有实现任何 React 服务器端函数端点，只要支持 React 服务器组件，仍然可能存在安全漏洞。

该漏洞被披露为 CVE-2025-55182，CVSS 评分为 10.0。

该漏洞存在于版本 19.0、19.1.0、19.1.1 和 19.2.0 中，已在版本 19.0.1、19.1.2 和 19.2.1 中修复了该问题。如果您使用上述任何版本的包，请立即升级到修复后的版本。

Next.js
该漏洞源自上游的 React 引起（CVE-2025-55182）。本公告（CVE-2025-66478）关注的是在使用 App Router 的 Next.js 应用中受到的影响。

易受攻击的 RSC 协议允许不可信的输入影响服务器端的执行流程。在特定情况下，攻击者可以通过构造请求，触发意外的服务器执行路径，从而在未修补的环境中实现远程代码执行。

受影响的 Next.js 版本范围： Next.js 15.x、16.x、Next.js 14.3.0-canary.77 及之后的canary版本

该漏洞已在以下已修复的 Next.js 版本中得到彻底解决：5.0.5、15.1.9、5.2.6、15.3.6、15.4.8、15.5.7、16.0.7

🗒 标签: #React #Nextjs
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot