React Server Components 存在远程代码执行漏洞 (CVE-2025-55182)
严重性等级:严重
发布日期: 2025年12月3日 (Facebook/React 仓库) 最后更新: 2025年12月4日
漏洞详情
影响
React Server Components 中存在一个未经身份验证的远程代码执行(RCE)漏洞。建议立即升级。
该漏洞存在于以下包的 19.0.0、19.1.0、19.1.1 和 19.2.0 版本中:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
补丁
修复已在 19.0.1、19.1.2 和 19.2.1 版本中引入。如果您正在使用上述任何包,请立即升级到任何已修复的版本。
如果您的应用程序的 React 代码不使用服务器,则您的应用程序不受此漏洞影响。如果您的应用程序不使用支持 React Server Components 的框架、打包器或打包器插件,则您的应用程序不受此漏洞影响。
技术信息
受影响的包及版本
| 包 (npm) | 受影响版本 | 已修复版本 |
|---|---|---|
react-server-dom-parcel |
>= 19.1.0, < 19.1.2 = 19.2.0 = 19.0.0 |
19.1.2 19.2.1 19.0.1 |
react-server-dom-turbopack |
>= 19.1.0, < 19.1.2 = 19.2.0 = 19.0.0 |
19.1.2 19.2.1 19.0.1 |
react-server-dom-webpack |
= 19.0.0 >= 19.1.0, < 19.1.2 = 19.2.0 |
19.0.1 19.1.2 19.2.1 |
严重性评分 (CVSS v3.1)
总体评分:10.0 (严重)
基础指标向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 低 (L)
- 所需权限 (PR): 无 (N)
- 用户交互 (UI): 无 (N)
- 影响范围 (S): 已改变 (C)
- 机密性影响 (C): 高 (H)
- 完整性影响 (I): 高 (H)
- 可用性影响 (A): 高 (H)
可利用性预测 (EPSS)
EPSS 分数: 27.191% (第96百分位数)
弱点分类 (CWE)
CWE-502: 不可信数据的反序列化 产品在反序列化不可信数据时,未能充分确保结果数据的有效性。
参考信息
-
GHSA ID:
GHSA-fv66-9v8q-g76r -
React Commit:
facebook/react@7dc903c -
发布版本:
-
官方博客文章: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
-
Facebook 安全公告: https://www.facebook.com/security/advisories/cve-2025-55182
-
相关讨论:
- Hacker News: https://news.ycombinator.com/item?id=46136026
- OSS-Security 邮件列表: http://www.openwall.com/lists/oss-security/2025/12/03/4
致谢
发现及分析人员:
- lachlan2k (发现者)
- PiotrBorowski (分析师)
- nozo-moto (分析师)
- leogasparini (分析师)
- mtorp (分析师)
- mnahkies (分析师)
- mswilson (分析师)