CVE-2025-55183: (CWE-502) 反序列化不受信数据。(CWE-497) Meta react-server-dom-webpack中敏感系统信息暴露给未授权参与者

严重性：中等 类型：漏洞

CVE-2025-55183

在特定配置的React Server Components版本19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0和19.2.1（包括以下软件包：react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack）中存在一个信息泄露漏洞。发送给易受攻击的服务器函数的特制HTTP请求可能会不安全地返回任何服务器函数的源代码。利用此漏洞需要存在显式或隐式暴露字符串化参数的服务器函数。

AI分析

技术总结

CVE-2025-55183是Meta的React Server Components框架中发现的一个中等严重性漏洞，具体涉及版本19.0.0、19.1.0和19.2.0，以及相关软件包react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack。该漏洞源于不安全的反序列化实践（CWE-502），并导致敏感系统信息暴露（CWE-497）。攻击者可以构造恶意的HTTP请求，针对显式或隐式暴露字符串化参数的服务器函数。此特制请求会导致服务器返回任何服务器函数的源代码，从而有效泄露内部应用程序逻辑和潜在的敏感实现细节。该漏洞不需要身份验证或用户交互，攻击向量基于网络，可远程利用。源代码的暴露可能助长进一步的攻击，例如识别其他漏洞、理解业务逻辑或制作更有效的利用程序。CVSS v3.1基础得分5.3反映了对机密性的中等影响，对完整性和可用性没有影响。截至发布日期，目前没有链接的补丁，也没有已知的在野利用报告。该漏洞与依赖指定版本和配置的React Server Components的应用程序尤其相关，这些配置中的服务器函数暴露了字符串化参数。

潜在影响

对欧洲组织而言，CVE-2025-55183的主要影响是使用易受攻击的React Server Components版本的Web应用程序可能泄露敏感的源代码和内部逻辑。这种暴露可以帮助攻击者进行侦察，使他们能够识别应用程序堆栈中的进一步漏洞或弱点。虽然该漏洞不会直接损害数据完整性或可用性，但机密性破坏可能导致知识产权盗窃、专有算法暴露或安全控制和业务逻辑泄露。高度依赖Web应用程序的行业（如金融、电子商务、医疗保健和政府）的组织，如果其应用程序使用了受影响版本，则可能面临更高的风险。中等严重性表明，虽然风险并不危急，但足以值得立即关注，尤其是在源代码机密性至关重要的环境中。此外，缺乏身份验证要求降低了利用门槛，增加了威胁面。目前没有已知的在野利用减少了即时风险，但并未消除未来攻击的可能性。

缓解建议

欧洲组织应首先清查其React Server Components的使用情况，特别是检查版本19.0.0、19.1.0和19.2.0以及相关软件包react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack。在识别出易受攻击版本的地方，组织应优先考虑在Meta提供补丁版本后尽快升级。在此期间，开发人员应审核服务器函数，确保其不必要地暴露字符串化参数，以最小化攻击面。对所有服务器函数实施严格的输入验证和清理，以防止恶意负载。采用网络级保护措施，如Web应用程序防火墙（WAF），以检测和阻止针对服务器函数的可疑HTTP请求。在可行的情况下，通过身份验证和授权控制来限制对服务器函数的访问，即使该漏洞不需要身份验证，以减少暴露。监控应用程序日志中是否存在表明利用尝试的异常请求模式。最后，定期进行安全代码审查和渗透测试，重点关注React Server Components中的反序列化和信息泄露漏洞。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙、波兰

来源：CVE数据库 V5 发布日期：2025年12月11日 星期四

技术详情

• 数据版本： 5.2
• 分配者简称： Meta
• 保留日期： 2025-08-08T18:21:47.119Z
• CVSS版本： 3.1
• 状态： 已发布