Critical Security Vulnerability in React Server Components
5 months ago
- #Vulnerability
- #React
- #Security
- 在React服务器组件中发现严重安全漏洞(CVE-2025-55182),允许未经身份验证的远程代码执行。
- 受影响版本:React 19.0、19.1.0、19.1.1和19.2.0。
- 已发布修复版本:19.0.1、19.1.2和19.2.1。
- 未使用React服务器组件或服务端React的应用不受影响。
- 受影响框架和打包工具包括Next.js、React Router、Waku等。
- 托管服务商已部署临时缓解措施,但仍建议立即更新。
- 为Next.js、React Router、Expo、Redwood SDK、Waku等受影响工具提供了详细更新指南。
- 漏洞原理:向服务器函数端点发送恶意HTTP请求可导致远程代码执行。
- 时间线:11月29日报告,11月30日确认,12月3日发布修复补丁。
- 致谢Lachlan Davidson发现并报告该漏洞。