React 团队发布紧急安全通告：高危漏洞（CVE-2025-55182，CVSS 10.0）允许在 Next.js 和服务端组件上实现未经认证的远程代码执行

React 团队在发现影响现代 React 生态系统的灾难性漏洞后发布了紧急安全通告。该漏洞被评为最高严重级别，允许未经认证的攻击者在运行 React Server Components (RSC) 的服务器上执行任意代码。

该漏洞由安全研究员 Lachlan Davidson 发现，其目标是客户端与服务器之间的通信层。该漏洞被分配了标识符 CVE-2025-55182，CVSS 评分高达 10.0。这一分数是为最严重的安全漏洞保留的——那些易于利用、无需认证并导致系统完全被破坏的漏洞。

威胁范围尤其令人担忧，因为它超出了主动使用的范畴。开发人员可能认为，如果他们未主动使用 Server Functions 就是安全的，但 React 团队警告并非如此：“即使您的应用程序没有实现任何 React Server Function 端点，如果您的应用程序支持 React Server Components，它可能仍然存在漏洞。”

该漏洞存在于反序列化过程中——即 React 如何将客户端发送的数据转换回服务器上的可执行操作。在正常操作下，React 将客户端请求转换为 HTTP 请求，然后服务器将其转换为函数调用。然而，此解码过程中的一个缺陷为恶意注入打开了大门。

“未经认证的攻击者可以针对任何 Server Function 端点制作恶意 HTTP 请求，当该请求被 React 反序列化时，即可在服务器上实现远程代码执行。”这使得攻击者能够绕过安全控制，直接在主机服务器上运行命令。

该问题源于特定的底层包：react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。受影响的版本范围是从 19.0 到 19.2.0。

由于这些包是基础性的，该漏洞会级联影响到主要框架和打包器。该通告指出：“以下 React 框架和打包器受到影响：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。”

React 团队及框架维护者已发布补丁，必须立即升级以保护应用程序安全。

对于 React 核心包：修复已在版本 19.0.1、19.1.2 和 19.2.1 中引入。

对于 Next.js 用户：用户必须立即升级到其特定版本线的最新修补版本：

• v15.0.x → 安装 next@15.0.5
• v15.1.x → 安装 next@15.1.9
• v16.0.x → 安装 next@16.0.7
• 注意：使用 Next.js 14.3.0-canary.77 或更高版本的用户应降级到 next@14。

对于 React Router 及其他框架：在 React Router、Waku 或 Redwood SDK 中使用不稳定 RSC API 的用户应立即运行 npm install，将 react、react-dom 及其特定的 server-dom 包（webpack/parcel）更新至最新版本。