CVE-2025-55184: (CWE-502) 不可信数据反序列化. (CWE-400) Meta react-server-dom-webpack 中的不受控资源消耗

严重性: 高 类型: 漏洞 CVE: CVE-2025-55184

React Server Components 版本 19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0 和 19.2.1（包括以下软件包：react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack）存在一个认证前的拒绝服务漏洞。易受攻击的代码不安全地反序列化来自 HTTP 请求到 Server Function 端点的负载，这可能导致服务器进程挂起的无限循环，并可能阻止未来的 HTTP 请求被处理。

技术摘要 CVE-2025-55184 是 Meta 的 React Server Components 中的一个漏洞，具体影响版本 19.0.0 至 19.2.1 以及相关软件包，如 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack。根本原因是针对 Server Function 端点的 HTTP 请求所接收的不可信数据的不安全反序列化。此反序列化缺陷可导致服务器进程内的无限循环，从而导致不受控的资源消耗，并有效地造成拒绝服务（DoS）状况。该漏洞不需要任何身份验证或用户交互，使得未经身份验证的攻击者可以远程利用。CVSS v3.1 评分为 7.5，反映了高严重性，主要是由于对可用性（拒绝服务）的影响和易于利用（网络攻击向量，无需权限）。虽然目前尚未报告公开的利用方式，但该漏洞的性质表明，攻击者可以通过发送触发无限循环的特制负载，来破坏依赖这些 React Server Components 的 Web 服务。受影响的软件包在现代 Web 应用程序开发中被广泛使用，以实现服务器端渲染和交互性，这增加了潜在的攻击面。在发布时缺乏可用补丁的情况下，需要立即采取缓解策略来保护受影响的系统。

潜在影响 对于欧洲组织而言，此漏洞对使用受影响的 React Server Components 构建的 Web 应用程序和服务的可用性构成重大风险。成功的利用可能导致服务器进程无限期挂起，从而引发拒绝服务状况，扰乱业务运营，降低用户体验，并可能造成财务损失。使用这些组件提供关键在线服务、电子商务平台或面向公众门户的组织可能面临服务中断。此外，该漏洞的认证前性质意味着攻击者无需任何凭据即可利用它，增加了自动化攻击或拒绝服务活动的可能性。在高流量环境中，资源耗尽可能产生连锁反应，影响多项服务或导致更广泛的基础设施不稳定，其影响尤其严重。鉴于 React 框架在欧洲数字经济中的广泛采用，该漏洞可能影响包括金融、政府、医疗保健和技术在内的广泛领域。在攻击期间无法为合法的 HTTP 请求提供服务也可能损害组织声誉和客户信任。

缓解建议

1. 立即缓解应侧重于对 Server Function 端点接收的所有数据实施严格的输入验证和清理，以防止恶意负载触发不安全反序列化。
2. 在处理 Server Function 调用的端点上部署速率限制和请求节流，以降低重复利用尝试导致资源耗尽的风险。
3. 将处理 React Server Components 的服务器进程隔离在单独的容器或沙箱中，以限制潜在挂起或崩溃的影响。
4. 监控服务器性能，并针对表明无限循环或资源消耗激增的异常 CPU 或内存使用模式设置警报。
5. 在 Meta 发布官方补丁之前，如果可行，考虑暂时禁用或限制对易受攻击的 Server Function 端点的访问。
6. 密切关注 Meta 的更新，并在补丁可用后立即应用安全补丁。
7. 进行彻底的代码审查和安全测试，重点关注反序列化逻辑和服务器端请求处理。
8. 使用具有自定义规则的 Web 应用程序防火墙（WAF）来检测和阻止针对反序列化端点的可疑负载。
9. 教育开发团队有关服务器端组件中反序列化和资源管理的安全编码实践。

受影响国家 德国、法国、英国、荷兰、瑞典、意大利、西班牙

来源: CVE Database V5 发布日期: 2025年12月11日 星期四