漏洞描述
近日React与Next.js发布安全公告,修复了
React/Next.js远程代码执行漏洞;由于ReactServer
Components在处理HTTP请求时存在不安全地反序列化,攻击者可在无需认证、无需登录的情况下通过构造特制表单调用
Node.js内置模块,从而在目标服务器上执行任意代码,因
Next.js使用的AppRouter内嵌了React的DOM包,因此也受该漏洞影响。目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
React是Facebook推出的开源JavaScript库,采用声明式编程范式,让开发者能够高效地创建可交互的Web应用界
面。
Next.js是Node.js生态中基于React的开源Web框架,其通过ServerActions功能提供了后端开发能力。
漏洞编号
CVE-2025-55182/CVE-2025-66478
漏洞等级
严重(CVSS评分10.0)影响范围
ReactServer=19.0.0
ReactServer=19.1.0
ReactServer=19.1.1
ReactServer=19.2.0
15.0.0 <=Next.js<=15.0.4
15.1.0 <=Next.js<=15.1.8
15.2.0 <=Next.js<=15.5.6
16.0.0 <=Next.js<=16.0.6Next.js>=14.3.0-canary.77
安全建议
目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级版本进行防护,下载链接:
https://github.com/facebook/react/releaseshttps://github.com/vercel/next.js/tags
