React Server Components 存在远程代码执行漏洞 · CVE-2025-55182
漏洞详情
影响 React Server Components 中存在一个未经身份验证的远程代码执行(RCE)漏洞。建议立即升级。
该漏洞存在于以下包的 19.0.0、19.1.0、19.1.1 和 19.2.0 版本中:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
补丁 修复已在 19.0.1、19.1.2 和 19.2.1 版本中引入。如果您正在使用上述任何软件包,请立即升级到任一已修复的版本。
如果您的应用的 React 代码不使用服务器,则不受此漏洞影响。如果您的应用不使用支持 React Server Components 的框架、打包器或打包器插件,则不受此漏洞影响。
参考信息
- GHSA-fv66-9v8q-g76r
- https://nvd.nist.gov/vuln/detail/CVE-2025-55182
- facebook/react#35277
- facebook/react@7dc903c
- https://github.com/facebook/react/releases/tag/v19.0.1
- https://github.com/facebook/react/releases/tag/v19.1.2
- https://github.com/facebook/react/releases/tag/v19.2.1
- https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- https://www.facebook.com/security/advisories/cve-2025-55182
- https://github.com/ejpir/CVE-2025-55182-poc
- https://news.ycombinator.com/item?id=46136026
- http://www.openwall.com/lists/oss-security/2025/12/03/4
严重程度
- 严重
- CVSS 总体评分:10.0
CVSS v3 基本指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 已更改
- 机密性: 高
- 完整性: 高
- 可用性: 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
EPSS 分数:27.191% (第 96 百分位数)
弱点
- 弱点: CWE-502
- 描述: 不可信数据的反序列化。产品在没有充分确保结果数据有效的情况下反序列化不可信数据。
CVE ID: CVE-2025-55182 GHSA ID: GHSA-fv66-9v8q-g76r 源代码: facebook/react