Denial of service and source code exposure in React Server Components
5 months ago
- #Vulnerabilities
- #React
- #Security
- React Server Components 中发现两个新漏洞:拒绝服务攻击(高危,CVE-2025-55184)和源代码泄露(中危,CVE-2025-55183)
- 补丁已在 19.0.2、19.1.3 和 19.2.2 版本发布,建议立即升级
- 受影响框架和打包工具包括 next、react-router、waku、@parcel/rsc、@vite/rsc-plugin 和 rwsdk
- 拒绝服务漏洞允许恶意 HTTP 请求引发无限循环,导致服务器进程挂起
- 源代码泄露漏洞可能在字符串化参数暴露时泄漏服务器函数源码
- 未使用 monorepo 或 react-dom 的 React Native 用户不受影响,但若安装了受影响包仍需更新
- 托管服务商已部署临时缓解措施,但仍需更新软件包
- 漏洞时间线:12月3日发现至12月11日完成修补
- 致谢安全研究员 Andrew MacPherson 和 RyotaK 报告漏洞