CVE-2025-67779: (CWE-502) 对不受信任数据的反序列化，(CWE-400) Meta react-server-dom-parcel 中的不受控资源消耗

严重性: 高 类型: 漏洞

CVE-2025-67779

研究发现，React Server Components 中针对 CVE-2025-55184 的修复并不完整，无法在特定情况下防止拒绝服务攻击。React Server Components 版本 19.0.2、19.1.3 和 19.2.2 受到影响，允许对来自 HTTP 请求到服务器函数端点的负载进行不安全的反序列化。这可能导致无限循环，使服务器进程挂起，并可能阻止处理未来的 HTTP 请求。

技术摘要 CVE-2025-67779 是 Meta react-server-dom-parcel 包中的一个漏洞， specifically affecting versions 19.0.2, 19.1.3, and 19.2.2 of React Server Components. 问题源于对通过 HTTP 请求接收到的、发送到服务器函数端点的不受信任数据的不安全反序列化。反序列化是将数据从适合传输或存储的格式转换回可执行对象的过程。当在没有适当验证的情况下对不受信任的数据执行此过程时，可能导致安全问题，例如代码执行或拒绝服务。在此案例中，该漏洞不会导致代码执行或数据泄露，但会在服务器进程内引发无限循环，导致不受控的资源消耗和拒绝服务（DoS）。此无限循环会使服务器挂起，阻止其处理更多请求，从而有效地导致服务中断。该漏洞是先前漏洞（CVE-2025-55184）修复不完整的结果，表明补丁未完全解决所有攻击向量。CVSS v3.1 评分为 7.5，反映了其对可用性的高影响，且无需权限或用户交互，并具有远程网络攻击向量。目前尚未有已知的在野利用报告，但其易于利用的潜力和潜在影响使其成为受影响部署的关键关切点。该漏洞属于 CWE-502（对不受信任数据的反序列化）和 CWE-400（不受控的资源消耗），凸显了与不安全数据处理和资源耗尽相关的根本原因。在其 Web 应用程序中使用这些 React Server Components 版本的组织应优先进行修复，以避免服务中断。

潜在影响 CVE-2025-67779 的主要影响是拒绝服务，这是由于恶意构造的反序列化负载触发无限循环导致服务器进程挂起所致。对于欧洲的组织，这可能导致严重的服务中断，特别是对于依赖 React Server Components 进行服务器端渲染或服务器功能的 Web 应用程序。可用性损失会扰乱业务运营，降低用户体验，并可能造成财务损失。高度依赖 Web 服务的行业，如金融、电子商务、公共部门和电信，可能会遇到运营中断。此外，长时间的中断可能损害组织声誉和客户信任。由于该漏洞不会危害机密性或完整性，数据泄露不是直接问题；然而，中断本身可能被用作更广泛攻击活动的一部分，或用于分散对其他恶意活动的注意力。缺乏身份验证要求和远程可利用性增加了风险状况，因为攻击者无需事先访问即可针对暴露的端点。拥有面向互联网的 React Server Components 端点的欧洲组织尤其脆弱。在缺乏强大监控或自动化缓解控制的环境中，影响会加剧，可能导致更长的停机时间。

缓解建议

1. 升级到已打补丁的版本：监控 Meta 官方渠道发布的针对 CVE-2025-67779 的补丁，并在发布后立即将 react-server-dom-parcel 更新到修复版本。
2. 输入验证和清理：对发送到服务器函数端点的所有传入数据实施严格验证，以在反序列化之前拒绝格式错误或意外的负载。
3. 速率限制和节流：对 HTTP 请求应用速率限制，以降低重复恶意尝试导致资源耗尽的风险。
4. Web 应用防火墙（WAF）：部署 WAF 规则以检测和阻止针对服务器函数端点的可疑反序列化负载或异常请求模式。
5. 隔离服务器函数：在具有资源限制的隔离环境或容器中运行服务器函数，以限制潜在的无限循环并防止整个服务器挂起。
6. 监控和告警：建立服务器性能指标的实时监控，并针对表明无限循环或 DoS 尝试的异常 CPU 或内存使用率飙升设置警报。
7. 禁用未使用的端点：如果不需要服务器函数端点，请禁用或限制对其的访问以减少攻击面。
8. 代码审查和测试：对反序列化逻辑进行彻底的代码审计和模糊测试，以主动识别和修复类似漏洞。
9. 网络分段：在可行的情况下，将易受攻击的服务限制在受信任的网络或 VPN 中，以减少外部攻击向量。

这些措施相结合，可以在等待官方补丁的同时，显著降低利用风险和影响。

受影响国家 德国、法国、英国、荷兰、意大利、西班牙、瑞典