CVE-2025-55183: (CWE-502) 不可信数据反序列化。(CWE-497) Meta react-server-dom-webpack 中敏感系统信息暴露给未授权参与者

严重性： 中危 类型： 漏洞

CVE-2025-55183

在特定配置的 React Server Components 版本 19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0 和 19.2.1 中存在一个信息泄露漏洞，涉及以下软件包：react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack。发送给易受攻击的服务器函数的特制 HTTP 请求可能会不安全地返回任何服务器函数的源代码。利用此漏洞需要存在一个显式或隐式暴露字符串化参数的服务器函数。

AI 分析

技术摘要

CVE-2025-55183 是 Meta 的 React Server Components 框架中识别出的一个中危漏洞，具体影响版本包括 19.0.0、19.1.0 和 19.2.0，以及相关的 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 软件包。该漏洞源于不安全的反序列化实践 (CWE-502)，并导致敏感系统信息暴露 (CWE-497)。攻击者可以构造一个恶意的 HTTP 请求，针对一个显式或隐式暴露字符串化参数的服务器函数。此特制请求会导致服务器返回任何服务器函数的源代码，从而有效泄露内部应用程序逻辑和潜在的敏感实现细节。该漏洞不需要身份验证或用户交互，攻击向量基于网络，可远程利用。源代码的暴露可能有助于进一步的攻击，例如识别其他漏洞、理解业务逻辑或制作更有效的漏洞利用程序。CVSS v3.1 基础评分为 5.3 分，反映了对机密性的中等影响，对完整性和可用性没有影响。截至目前，没有相关补丁链接，并且截至发布日期，尚未在野外报告已知的漏洞利用。该漏洞尤其与依赖指定版本和配置（其中服务器函数暴露字符串化参数）的 React Server Components 的应用程序相关。

潜在影响

对于欧洲组织而言，CVE-2025-55183 的主要影响是使用易受攻击的 React Server Components 版本的 Web 应用程序可能泄露敏感的源代码和内部逻辑。这种暴露可能有助于攻击者进行侦察，使他们能够识别应用程序栈中的更多漏洞或弱点。虽然该漏洞不会直接危害数据完整性或可用性，但机密性的破坏可能导致知识产权盗窃、专有算法暴露或安全控制和业务逻辑泄露。对 Web 应用程序高度依赖的行业（如金融、电子商务、医疗保健和政府）中的组织，如果其应用程序使用受影响版本，可能面临更高的风险。中等严重程度表明，虽然风险不是关键性的，但足以引起及时关注，尤其是在源代码机密性至关重要的环境中。此外，缺乏身份验证要求降低了利用门槛，增加了威胁面。目前野外没有已知漏洞利用减少了直接风险，但并未消除未来攻击的可能性。

缓解建议

欧洲组织应首先清查其 React Server Components 的使用情况，特别是检查版本 19.0.0、19.1.0 和 19.2.0，以及相关的 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 软件包。在识别出易受攻击版本的情况下，组织应优先在 Meta 提供修补版本后进行升级。在此期间，开发人员应审核服务器函数，确保不必要地暴露字符串化参数，以最小化攻击面。在所有服务器函数上实施严格的输入验证和清理，以防止恶意负载。采用网络级保护措施，如 Web 应用程序防火墙 (WAF)，以检测和阻止针对服务器函数的可疑 HTTP 请求。在可行的情况下，即使该漏洞不需要身份验证，也应通过身份验证和授权控制来限制对服务器函数的访问，以减少暴露。监控应用程序日志，查找表明利用尝试的异常请求模式。最后，定期进行安全代码审查和渗透测试，重点关注 React Server Components 中的反序列化和信息泄露漏洞。

受影响国家 德国、法国、英国、荷兰、瑞典、意大利、西班牙、波兰