Critical RCE Vulnerabilities in React and Next.js
5 months ago
- #vulnerability
- #react
- #security
- React和Next.js在默认配置中存在未授权远程代码执行漏洞。
- 该漏洞影响React 19生态系统及Next.js、Vite RSC插件等框架。
- CVE-2025-55182(React)和CVE-2025-66478(Next.js)允许通过RSC 'Flight'协议的不安全反序列化实现RCE攻击。
- Wiz Research数据显示39%的云环境存在此漏洞风险。
- 已修复版本:React 19.0.1/19.1.2/19.2.1;Next.js(App Router)14.3.0-canary/15.x/16.x。
- 紧急措施:升级React及相关依赖;检查其他启用RSC框架的更新。