管理员与防御者严阵以待，应对最高严重性服务器漏洞

安全防御者们正在对周三披露的一个最高严重性漏洞做出响应，该漏洞存在于广泛用于网站和云环境的开源软件包React Server中。

该漏洞易于利用，允许黑客在运行它的服务器上执行恶意代码。目前，利用代码已公开可用。

React被嵌入到服务器上的Web应用程序中，以便远程设备更快地渲染JavaScript和内容，同时所需资源更少。据估计，6%的网站和39%的云环境使用React。当最终用户重新加载页面时，React允许服务器仅重新渲染已更改的部分，这一特性极大地提升了性能并降低了服务器所需的计算资源。

完美的10分漏洞

安全公司Wiz表示，利用该漏洞仅需一个HTTP请求，并且在其测试中具有**“接近100%的可靠性”**。多个软件框架和库默认嵌入了React实现。因此，即使应用程序没有明确使用React功能，它们仍然可能易受攻击，因为集成层本身会调用有问题的代码。

React的广泛使用（尤其是在云环境中）、利用的简易性以及能够执行代码让攻击者控制服务器的能力，共同使得该漏洞获得了最高可能的严重性评分10分。在社交媒体上，安全防御者和软件工程师敦促所有负责React相关应用程序的人员立即安装周三发布的更新。

“我通常不会这么说，但请现在就马上打补丁，”一位研究人员写道。“React的CVE条目（CVE-2025-55182）是完美的10分。”

React版本19.0.1、19.1.2或19.2.1包含有漏洞的代码。已知受影响的第三方组件包括：

• Vite RSC 插件
• Parcel RSC 插件
• React Router RSC 预览版
• RedwoodSDK
• Waku
• Next.js

根据Wiz和安全公司Aikido的信息，这个被追踪为CVE-2025-55182的漏洞存在于React服务器组件中的Flight协议中。Next.js已指定CVE-2025-66478来追踪其软件包中的此漏洞。

该漏洞源于不安全的反序列化，这是将字符串、字节流和其他“序列化”格式转换为代码中的对象或数据结构的编码过程。黑客可以利用这种不安全的反序列化，通过有效载荷在服务器上执行恶意代码。打了补丁的React版本包含了更严格的验证和加固的反序列化行为。

“当服务器收到一个经过特殊构造的畸形负载时，它无法正确验证其结构，”Wiz解释道。“这使得攻击者控制的数据能够影响服务器端的执行逻辑，导致执行有特权的JavaScript代码。”

该公司补充道： 在我们的实验中，利用此漏洞具有很高的成功率，接近100%，并可被利用来实现完整的远程代码执行。攻击向量是无身份验证且远程的，仅需向目标服务器发送一个特殊构造的HTTP请求。它影响了流行框架的默认配置。

两家公司都建议管理员和开发人员升级React及其任何依赖它的组件。使用上述任何支持Remote的框架和插件的用户应向维护者咨询指导。Aikido还建议管理员和开发人员使用此链接扫描其代码库和存储库中React的使用情况。