【严重！已复现】React Server Components (CVE-2025-55182)远程...

主要观点总结

近日，奇安信CERT监测并公开了React Server Components和Next.js的远程代码执行漏洞（CVE-2025-55182和CVE-2025-66478）。该漏洞影响范围广泛，主要影响react-server-dom-webpack的Server Actions功能。攻击者可构造恶意表单请求，直接调用Node.js内置模块，在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务。同时，由于Next.js的某些版本依赖了存在缺陷的React服务端DOM包，也存在注入恶意代码的风险。奇安信CERT建议客户尽快自查并做好防护。

关键观点总结

关键观点1: 漏洞概述

React Server Components和Next.js存在远程代码执行漏洞，影响范围广泛。

关键观点2: 漏洞细节

漏洞本质上是一个逻辑反序列化漏洞，服务器在处理RSC "Flight"协议负载时未正确验证结构，导致攻击者控制的数据影响服务器端执行逻辑。具体表现为不受信任的输入可以触发意外的服务器执行路径，将恶意数据隐藏在负载中，实现远程代码执行。

关键观点3: 影响版本

多个版本的React Server、Next.js受到影响，包括React Server 19.0.0、Next.js v15.0.0 - v15.0.4等。

关键观点4: 威胁评估

该漏洞被评为高危风险，CVSS 3.1分数为10.0。攻击复杂度低，危害严重，可能导致服务器被恶意控制。

关键观点5: 处置建议

官方已发布安全补丁，客户应及时更新至最新版本。同时，奇安信CERT提供了深度分析报告订阅服务，帮助客户更好地理解和应对此漏洞。