安全通告  

近期，聚铭安全攻防实验室监测发现了一项与React Server Components相关的远程代码执行漏洞，该漏洞已被披露，编号为 CVE-2025-55182，CVSS 评分为 10.0。

该漏洞主要波及react-server-dom-webpack的Server Actions功能。由于在处理客户端提交的表单数据时，系统未能实施充分的安全性校验，导致攻击者能够通过精心设计的恶意表单请求，直接调用Node.js的内置模块。这使得攻击者能够在服务器端执行任意系统命令、进行文件的读写操作，甚至实现对服务的完全控制。该漏洞的利用过程简单且具有较高的隐蔽性，仅需一次HTTP POST请求即可激活。鉴于此漏洞可能对广泛的系统造成影响，建议相关用户立即进行自我检查并采取相应的防护措施。

  漏洞信息  

React 是由 Meta 开放源代码、用于构建用户界面的 JavaScript 库。其“React Server Components”（RSC）架构可使组件于服务端进行渲染并将输出序列化，借助“Flight”协议以JSON-like的流式格式传送至客户端，达成零客户端 JS 体积的交互体验。RSC 已为 Next.js、Shopify Hydrogen、Gatsby 5 等主流框架所采用，在电商、SaaS、内容站点等领域得到广泛应用。

React Server Functions 允许客户端调用服务器上的函数。React 提供了集成点和工具，供框架和打包工具使用，以帮助 React 代码在客户端和服务器上运行。React 将客户端的请求转换为 HTTP 请求，并将其转发到服务器。在服务器上，React 将 HTTP 请求转换为函数调用，并将所需数据返回给客户端。未经身份验证的攻击者可以精心构造一个恶意的 HTTP 请求到任何 Server Function 端点，当 React 对其进行反序列化时，可以在服务器上实现远程代码执行。有关此漏洞的更多详细信息将在修复程序全面推出后提供。

  复现过程  

聚铭安全攻防实验室已成功复现该漏洞，具体步骤如下：

1、靶机搭建

进入漏洞验证目录并启动服务：

cd /CVE-2025-55182-poc

npm install

node --conditions react-server --conditions webpack src/server.js

服务启动后，本地将监听 http://localhost:3002。

2、命令执行

执行以下命令发起攻击（以执行 id 命令为例）：

node exploit-rce-v4.js

攻击脚本成功返回命令执行结果，证实远程代码执行（RCE）漏洞真实存在。

受影响的React Server组件版本：

  • React Server 19.0.0

  • React Server 19.0.1 （注：部分早期补丁未完全覆盖）

  • React Server 19.1.*

  • React Server 19.2.0

其他受影响的框架/工具：

  • Next.js v15.0.0-v15.0.4

  • Next.js v15.1.0-v15.1.8

  • Next.js v15.2.x-v15.5.6

  • Next.js v16.0.0-v16.0.6

  • Next.js v14.3.0-canary.77 及以上 Canary 版本

  处置建议  

目前，官方已发布安全补丁，建议所有受影响的用户立即更新至最新版本：

  • React Server 19.0.1

  • React Server 19.1.2

  • React Server 19.2.1

补丁下载地址：

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

  结 语  

聚铭网络已将 CVE-2025-55182 纳入高危漏洞监控清单，旗下聚铭安全管家平台以及聚铭网络脆弱性扫描系统等产品均已完成规则更新，可精准检测识别该漏洞。

如您需要以下支持：漏洞扫描与风险评估、应急响应与处置、安全加固与架构优化等，请立即联系聚铭网络安全服务团队，我们将第一时间为您提供专业、高效的防护保障。