React團隊公開React 19伺服器端元件(Server Components)出現未經驗證遠端程式碼執行漏洞,編號CVE-2025-55182,官方評為CVSS10分的最高危險等級。該漏洞來自React伺服器端元件所使用的Flight通訊協定,牽連React19生態系的多項框架,其中以Next.js最受關注,Next.js則以CVE-2025-66478追蹤同一個問題。
React說明,這是一個發生在伺服器端解碼RSC請求時的不安全反序列化邏輯錯誤。當攻擊者送出特製的HTTP請求到伺服器函式端點,React在解碼Flight負載時要是未正確檢查結構,就可能把攻擊內容當成程式物件處理,使攻擊者在伺服器上執行特權JavaScript程式碼。資安廠商Wiz研究人員提到,這種攻擊不需要任何身分驗證,只靠精心設計的請求就能觸發,而且在測試中的成功率接近百分之百,且影響到多個框架的預設設定。
受影響的套件包括react-server-dom-webpack、react-server-dom-parcel與react-server-dom-turbopack等,在19.0、19.1.0、19.1.1與19.2.0版本中都存在風險,修補已經隨React 19.0.1、19.1.2與19.2.1釋出。不過,如果React程式完全沒有在伺服器上執行,或沒有搭配支援RSC的框架與打包工具,則不受此次漏洞影響。
Next.js則因AppRouter預設採用RSC而被直接點名,影響版本包含15.x與16.x,以及14.3.0-canary.77及之後的Canary版本。React與Next.js團隊已提供對應版本的更新路線,建議使用者在原有主版本線上升級到標示為安全的版號。Wiz研究人員提到,以create-next-app照預設設定建置的Next.js應用,在未更新前都可能被攻擊。
不只限於Next.js,任何打包React伺服器端元件實作的框架或工具,皆受影響,React官方還點名的專案還有React Router RSC預覽功能、Waku、Parcel RSC外掛、Vite RSC外掛以及RedwoodSDK等。
Wiz以自家掃描資料評估,約有39%的雲端環境出現受CVE-2025-55182或CVE-2025-66478影響的React或Next.js實例,顯示問題並非少數專案才會遇到,而是已經擴散到相當比例的實際部署之中。
React公告表示,已與多家託管與雲端服務業者合作,針對已知攻擊類型在邊界布下暫時性防禦。不過官方同時強調,這些雖然可以降低部分風險,卻不能視為完整解決方案,真正的修補仍然是更新到包含修正的React與相關框架版本。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31