React 伺服器元件在 React 版本 19.0.x(19.0.1 之前的版本)、19.1.x(19.1.2 之前的版本)和 19.2.x(19.2.1 之前的版本)中存在不受信任的資料反序列化漏洞(CWE-502,CVE-2025)。
即使您沒有實作 React 伺服器函數端點,如果您支援 React 伺服器元件,也可能會受到影響。諸如 Next.js、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk 等框架和打包工具也會受到影響。
JPCERT/CC 已確認,針對此洩漏的概念驗證代碼 (PoC) 已在互聯網上公開,並且已觀察到試圖利用該漏洞的通訊。如果遠端攻擊者向處理 React 伺服器元件的伺服器傳送特製的 HTTP 請求,則無需驗證即可執行任意程式碼。
React Team、Meta、Vercel、Wiz 等公司發布了相關資訊。
從: 
JVNVU#91640936 React 伺服器元件中存在不受信任的資料反序列化漏洞(嚴重)
【社論】
React Server Components (RSC) 是 React 19 版本的特性,它抽象化了前端和後端之間的邊界,使用戶能夠輕鬆編寫元件,從而實現高品質的使用者體驗和高效的資料檢索。然而,CVE-2025-55182 漏洞揭示了 RSC 核心的 Flight 協定反序列化過程存在設計缺陷,暴露了一條可能導致未經身份驗證的遠端程式碼執行的途徑。
關鍵在於,即使不打算直接使用 RSC 的團隊也無法避免其影響。如果 RSC 透過 create-next-app 創建的標準 Next.js 應用程式、react-router 實驗性 API、Vite 或 Parcel RSC 插件,或者 Redwood SDK 在後台運行,即使沒有任何額外的實現,它也可能成為攻擊目標。
該漏洞的概念驗證(PoC)已公開,Wiz 和其他開發者已報告了互聯網上的攻擊流量和實際入侵案例。已確認的攻擊場景是:向暴露的 RSC 端點發送精心建構的 HTTP 請求,即可在容器內執行任意 JavaScript 程式碼,從而導致加密貨幣挖礦、部署後門、竊取雲端憑證等攻擊。
另一方面,值得注意的是,React 團隊、Vercel、雲端公司和安全廠商幾乎同時發布了安全公告、修補程式和檢測規則,旨在縮短整個生態系統中風險的持續時間。現代 Web 框架往往看起來像黑盒,但這種應對措施表明,透過適當的更新和監控,「便利性和安全性並非不可兼得」。
從長遠來看,我們已經進入了一個新時代,協定設計和序列化安全將在基礎設施層級負責提供伺服器端豐富抽象的機制,這些機制不僅包括 RSC,還包括 tRPC、GraphQL 和各種伺服器操作。在選擇框架時,評估標準可能不僅基於開發體驗 (DX) 的優點,還取決於預設設定縮小攻擊面的效果以及規範的外部驗證難易程度。
[術語]
React 伺服器元件 (RSC)
這是 React 提供的一種機制,它是一種旨在透過在伺服器端執行一些元件並將結果串流傳輸到客戶端來同時實現效能和開發效率的架構。
反序列化(CWE-502)
這指的是將透過網路或其他方式接收到的序列化資料還原到程式中的物件或結構的過程。 CWE-502 是一類因直接反序列化不受信任的輸入而導致的漏洞。
遠端程式碼執行 (RCE)
這指的是攻擊者可以透過網路執行任意程式碼的情況。這是一種典型的嚴重漏洞模式,很容易導致伺服器被控制和惡意軟體的安裝。
概念驗證(PoC)
這是概念驗證程式碼,它演示了漏洞實際上可以被利用,使攻擊者和防禦者都能看到它在真實環境中是如何運作的。
[參考連結]
React(React.dev) (外部)
React 是 Meta 開發的 JavaScript 程式庫,其官方網站匯總了最新的文件和公告,包括 React 伺服器元件。
Next.js(Vercel) (外部)
Next.js 是 Vercel 提供的 React 框架,其官方網站介紹了現代 Web 開發的功能,例如應用程式路由和伺服器元件支援。
CVE-2025-55182(外部)摘要
Vercel 的 CVE-2025-55182 摘要頁面列出了受影響的 Next.js 版本、其修補程式狀態以及建議的更新步驟。
React2Shell (CVE-2025-55182): React 嚴重漏洞(外部)
雲端安全公司 Wiz 對 CVE-2025-55182 進行了技術解釋,提供了有關攻擊方法、對雲端環境的影響以及檢測和緩解策略的詳細資訊。
關於 React 伺服器元件漏洞 (CVE-2025-55182) (外部)
由 JPCERT/CC 發布的 CyberNewsFlash 概述了 PoC 發布、已確認的利用通訊狀態,以及對日本各組織的警告和應對措施。
[參考影片]
[參考文章]
React 伺服器元件中的關鍵安全漏洞(外部)
React 團隊整理了 CVE-2025-55182 的技術背景和影響範圍、受影響的版本和建議的升級路徑,並解釋了 RSC 協議的問題和未來的計劃。
React 伺服器元件漏洞 (CVE-2025-55182) (外部)
JPCERT/CC 簡要總結了 CVE-2025-55182 的 PoC 發布情況、已確認的利用通訊狀態、受影響環境範例以及國內組織需要採取的更新措施。
React2Shell (CVE-2025-55182):React 嚴重漏洞 | Wiz Blog (外部連結)
Wiz 對 CVE-2025-55182(他將其命名為 React2Shell)進行了深入研究,詳細介紹了攻擊鏈、雲環境中的橫向移動模式以及檢測和緩解的最佳實踐。
CVE-2025-55182(外部)摘要
Vercel 總結了 CVE-2025-55182 對 Next.js 及其平台的影響,解釋了受影響的版本、其修補程式狀態以及使用者應採取的更新步驟。
CVE-2025-55182 詳情 – NVD (外部)
NVD 已發布 CVE-2025-55182 的 CVSS 評分、與 CWE-502 的對應關係以及影響範圍的官方記錄,並提供了指向每個供應商諮詢的連結。
[編者註]
如果你在生產環境中使用 React 或 Next.js,為什麼不藉此機會,從全域角度審視一下你的整個技術堆疊呢?我認為每個人都會面臨這樣的挑戰:如何更好地理解自身的依賴關係,以及如何理解和應用像 RSC 這樣的新抽象概念。
