更新 2025年12月5日:React和Next.js中的关键漏洞
新闻稿 | 2025年12月4日 | 12:36
2025年12月3日,React发布了一篇关于一个关键漏洞(标识为CVE-2025-55182)的博客。国家网络安全中心(NCSC)随后根据此博客发布了一份带有行动视角的HIGH/HIGH安全建议。NCSC强烈敦促使用该软件的组织遵循此建议。
更新 2025年12月5日 自12月3日起,已监测到针对标识为CVE-2025-55182漏洞的活跃利用。这是亚马逊发布的消息。此外,还公开了一个概念验证(PoC)。这意味着除了亚马逊博客中提到的攻击者之外,现在其他攻击者也可以利用此漏洞。因此,您的组织遭受此漏洞利用攻击的风险增加了。
如果您的组织使用React软件,我们强调现在就采取行动。可以通过以下方式操作:
- 尽快为您的系统打补丁。
- 调查您的组织是否已受影响。 亚马逊的博客为此提供了行动视角。
重要提示: 请在未来几天密切关注此消息。由于关于该漏洞及相关利用的许多信息尚不清楚,我们预计会有更多更新发布。同时,请警惕新的动态。
行动视角 在我们的安全建议NCSC-2025-0380 [1.0.1]中,指明了哪些软件版本存在漏洞,以及修复漏洞的行动视角。本消息将在有新进展时更新。
遗憾的是,作为NCSC,我们不能排除您的组织已经受到影响的可能性。毕竟,该漏洞至少已被利用了两天。总之,请尽快遵循行动视角,如果发现被利用的痕迹,请联系我们。
更新结束
原新闻稿继续
React是一种用于构建Web应用程序(例如网络表单)用户界面的开发软件(库)。此外,它通常是更大开发框架(如Next.js)的组成部分。
漏洞如何被利用 为了使用Web应用程序,需要从连接到互联网的服务器获取数据。React中的关键漏洞可被滥用以获取运行此开发软件的服务器访问权限。
攻击者可以通过向易受攻击的服务器发送一个HTTP数据包来利用该漏洞。运行在服务器上的易受攻击版本的软件会错误处理此HTTP数据包。这使得攻击者可以在相关服务器上执行恶意JavaScript代码。其后果可能是,攻击者可能能够查看服务器上的所有数据,或者获得对运行易受攻击软件的服务器控制权。
行动视角 在我们的安全建议NCSC-2025-0380 [1.0.0]中,指明了哪些软件版本存在漏洞,以及修复漏洞的行动视角。
本消息将在有新进展时更新。