需紧急修复的React与Next.js漏洞

安全公司Wiz（谷歌旗下网络安全子公司）发出最高级别警报，敦促开发者立即更新React 19库及其实现的Next.js框架。此次发现的严重漏洞存在于创建应用程序界面的React 19库中，Next.js也因其实现该库而获得了一个独立的CVE编号。受影响的React版本包括19.0.0、19.1.0、19.1.1和19.2.0，受影响的Next.js版本则包括15.x和16.x。

漏洞详情与风险

该漏洞编号为CVE-2025-55182，影响负责客户端与服务器间通信以传输序列化组件树的React服务器组件（RSC）Flight协议。Wiz指出：“此漏洞存在于受影响应用程序的默认配置中，这意味着标准部署会立即暴露。”并补充道：“我们的漏洞利用测试表明，使用create-next-app创建并部署到生产环境的标准Next.js应用程序，在开发者未对代码进行任何特定修改的情况下即存在漏洞。”

具体而言，该漏洞导致React服务器包中出现逻辑反序列化问题，使其能够以不安全的方式处理RSC有效负载。据Wiz研究人员称，当服务器收到一个特制且格式错误的有效负载时，它无法正确验证其结构。因此，攻击者控制的数据可能影响其执行逻辑，从而导致JavaScript代码执行权限被激活。要利用此React漏洞，攻击者只需向服务器发送一个特制的HTTP请求。出于安全原因，Wiz的研究人员未详细说明具体方法。

专家警告与应对措施

SANS研究所研究主管Johannes Ullrich认为，“这是一个非常严重的漏洞”，并预计“在一两天内就会发现公开的漏洞利用程序”。他指出，像Cloudflare这样的WAF供应商已经制定了规则来保护应用程序免受潜在的利用。“但即使受这些系统保护的Web应用程序也必须打补丁，以防攻击者找到绕过这些保护机制的方法，”他补充道。应用程序安全专家Tanya Janca证实，这些漏洞不容小觑，“它们应该像对待Log4j一样被处理，所有应用程序都应该被仔细筛查。”