摘要:nbsp;“CVE-2025-55182对世界上使用最广泛的Web应用程序框架之一的用户构成了重大风险,”风险管理工具供应商watchTowr的创始人兼首席执行官Benjamin Harris告诉The Register。nbsp;上周六,研究员Lachlan Davidson发现并报告了这个缺陷给Meta,Meta创建了这个开源项目。nbsp;“Wiz数据表明,39%的云环境包含易受CVE-2025-55182和/或CVE-2025-66478影响的Next.
广泛使用的JavaScript库React以及包括Next.js"在内的几个基于React的框架存在一个最高严重性的漏洞,允许未经身份验证的远程攻击者在易受攻击的实例上执行恶意代码。安全研究人员表示,这个漏洞很容易被滥用,大规模利用“迫在眉睫”。
React团队在周三披露了React Server Components中的未经身份验证的远程代码执行(RCE)漏洞。它被跟踪为CVE-2025-55182",并获得了最高的10.0的CVSS严重性评级。
这是一个大问题,因为大部分互联网都是建立在React之上的——据估计,39%的云环境容易受到这个漏洞的影响。因此,这个问题应该在你的待办事项列表中占据一个突出的位置。
这个漏洞影响了19.0、19.1.0、19.1.1和19.2.0版本的:
react-server-dom-webpack"react-server-dom-parcel"React-server-dom-turbopack"
它还影响了包括next"、react-router"、waku"、@parcel/rsc"、@vitejs/plugin-rsc"和rwsdk"在内的几个React框架和打包器的默认配置。
项目的维护者表示,升级到19.0.1"、19.1.2"和19.2.1"版本可以修复这个漏洞。
“我们建议立即升级,”React团队在周三的安全咨询中表示。
“CVE-2025-55182对世界上使用最广泛的Web应用程序框架之一的用户构成了重大风险,”风险管理工具供应商watchTowr的创始人兼首席执行官Benjamin Harris告诉The Register。“利用几乎不需要先决条件,[并且]毫无疑问,一旦攻击者开始分析现在公开的补丁,就会立即进行野外利用。”
Next.js的创建者和主要维护者Vercel为该漏洞分配了自己的CVE(CVE-2025-66478"),并在周三发布了警报和补丁。
虽然我们没有太多关于这个漏洞的细节,但我们知道它滥用了React解码发送到React Server Function端点的有效载荷的缺陷。
“未经身份验证的攻击者可以制作一个恶意的HTTP请求到任何Server Function端点,当被React反序列化时,可以在服务器上实现远程代码执行,”安全警报警告说。“有关该漏洞的更多细节将在修复完成后提供。”
上周六,研究员Lachlan Davidson发现并报告了这个缺陷给Meta,Meta创建了这个开源项目。Meta与React团队合作,在四天后迅速推出了一个紧急补丁。
React的应用非常广泛——Meta的Facebook和Instagram、Netflix、Airbnb、Shopify、Hello Fresh、Walmart和Asana都依赖于它,数百万开发者也依赖于它——许多框架都依赖于易受攻击的React包。
因此,这个CVE将大部分互联网置于危险之中。
“Wiz数据表明,39%的云环境包含易受CVE-2025-55182和/或CVE-2025-66478影响的Next.js或React的实例,”云安全商店的威胁猎人Gili Tikochinski、Merav Bar和Danielle Aminov在周三表示。
这家即将被谷歌收购的公司"对这个漏洞进行了实验和修复,并报告说“利用这个漏洞的保真度很高,成功率接近100%,可以利用它来执行完整的远程代码。”
“由于其严重性和易利用性,需要立即打补丁,”三人补充说。
在撰写本文时,The Register没有发现任何野外利用的报告。然而,可以肯定的是,犯罪分子已经在逆向工程补丁,并在互联网上扫描暴露的、易受攻击的实例。
“由于React和Next.js等框架的广泛使用,这个漏洞预计将引起极大的关注,”Rapid7的高级首席研究员Stephen Fewer告诉The Register。
“技术细节和利用代码被公开的可能性很高,因此利用可能很快就会发生,”他说。“因此,立即修补这个漏洞至关重要。”
Cloudflare声称,如果他们的React应用程序流量是通过WAF代理的,那么他们的Web应用程序防火墙(WAF)可以保护他们免受该漏洞的侵害。®
原文链接:
https://www.theregister.com/2025/12/03/exploitation_is_imminent_react_vulnerability/?td=rt-3a"
广泛使用的JavaScript库React以及包括Next.js"在内的几个基于React的框架存在一个最高严重性的漏洞,允许未经身份验证的远程攻击者在易受攻击的实例上执行恶意代码。安全研究人员表示,这个漏洞很容易被滥用,大规模利用“迫在眉睫”。
React团队在周三披露了React Server Components中的未经身份验证的远程代码执行(RCE)漏洞。它被跟踪为CVE-2025-55182",并获得了最高的10.0的CVSS严重性评级。
这是一个大问题,因为大部分互联网都是建立在React之上的——据估计,39%的云环境容易受到这个漏洞的影响。因此,这个问题应该在你的待办事项列表中占据一个突出的位置。
这个漏洞影响了19.0、19.1.0、19.1.1和19.2.0版本的:
react-server-dom-webpack"react-server-dom-parcel"React-server-dom-turbopack"
它还影响了包括next"、react-router"、waku"、@parcel/rsc"、@vitejs/plugin-rsc"和rwsdk"在内的几个React框架和打包器的默认配置。
项目的维护者表示,升级到19.0.1"、19.1.2"和19.2.1"版本可以修复这个漏洞。
“我们建议立即升级,”React团队在周三的安全咨询中表示。
“CVE-2025-55182对世界上使用最广泛的Web应用程序框架之一的用户构成了重大风险,”风险管理工具供应商watchTowr的创始人兼首席执行官Benjamin Harris告诉The Register。“利用几乎不需要先决条件,[并且]毫无疑问,一旦攻击者开始分析现在公开的补丁,就会立即进行野外利用。”
Next.js的创建者和主要维护者Vercel为该漏洞分配了自己的CVE(CVE-2025-66478"),并在周三发布了警报和补丁。
虽然我们没有太多关于这个漏洞的细节,但我们知道它滥用了React解码发送到React Server Function端点的有效载荷的缺陷。
“未经身份验证的攻击者可以制作一个恶意的HTTP请求到任何Server Function端点,当被React反序列化时,可以在服务器上实现远程代码执行,”安全警报警告说。“有关该漏洞的更多细节将在修复完成后提供。”
上周六,研究员Lachlan Davidson发现并报告了这个缺陷给Meta,Meta创建了这个开源项目。Meta与React团队合作,在四天后迅速推出了一个紧急补丁。
React的应用非常广泛——Meta的Facebook和Instagram、Netflix、Airbnb、Shopify、Hello Fresh、Walmart和Asana都依赖于它,数百万开发者也依赖于它——许多框架都依赖于易受攻击的React包。
因此,这个CVE将大部分互联网置于危险之中。
“Wiz数据表明,39%的云环境包含易受CVE-2025-55182和/或CVE-2025-66478影响的Next.js或React的实例,”云安全商店的威胁猎人Gili Tikochinski、Merav Bar和Danielle Aminov在周三表示。
这家即将被谷歌收购的公司"对这个漏洞进行了实验和修复,并报告说“利用这个漏洞的保真度很高,成功率接近100%,可以利用它来执行完整的远程代码。”
“由于其严重性和易利用性,需要立即打补丁,”三人补充说。
在撰写本文时,The Register没有发现任何野外利用的报告。然而,可以肯定的是,犯罪分子已经在逆向工程补丁,并在互联网上扫描暴露的、易受攻击的实例。
“由于React和Next.js等框架的广泛使用,这个漏洞预计将引起极大的关注,”Rapid7的高级首席研究员Stephen Fewer告诉The Register。
“技术细节和利用代码被公开的可能性很高,因此利用可能很快就会发生,”他说。“因此,立即修补这个漏洞至关重要。”
Cloudflare声称,如果他们的React应用程序流量是通过WAF代理的,那么他们的Web应用程序防火墙(WAF)可以保护他们免受该漏洞的侵害。®
原文链接:
https://www.theregister.com/2025/12/03/exploitation_is_imminent_react_vulnerability/?td=rt-3a"