React Server Components 远程代码执行漏洞(CVE-2025-55182)在野利用预警

2025-12-06 13:32:28来源：同花顺编辑：李川峰

扫一扫

分享文章到微信

扫一扫

关注豌豆财经网微信公众号

　　最近几天关于“React Server Components 远程代码执行漏洞”的讨论经历了过山车般的起伏反转。电科网安（002268）经过持续的跟踪研判、分析复现，确认该漏洞在实战中可以做到对依赖了漏洞版本React Server Components的应用产生实质性危害。基于Next.js框架开发的应用是重灾区，截止发稿时，已知著名的开源AI应用低代码框架Dify，以及个人AI助手开发框架LobeHub可以实现无条件回显RCE，已经监测到在野利用。强烈建议及时采取修复措施以避免受到损失，相关资产应避免直接暴露在互联网。

　　漏洞名称：React Server Components 远程代码执行漏洞

　　漏洞编号：CVE-2025-55182、CVE-2025-66478

　　漏洞等级：超危

　　漏洞概要：

　　React是由Meta(原Facebook)公司主导开发的流行JavaScript前端库，采用组件化开发模式，主要用于构建现代Web用户界面和单页应用程序。React Server Components(RSC)支持服务端渲染与序列化输出，通过Flight协议实现高效的流式数据传输，显著提升了应用性能并优化了客户端资源加载，被Next.js等主流框架广泛采用。对于使用 Next.js App Router等现代全栈框架的项目，RSC 通常是其核心架构的一部分，直接受到该漏洞影响。

　　React Server Components 远程代码执行漏洞(CVE-2025-55182)及关联的Next.js 远程代码执行漏洞(CVE-2025-66478)，CVSS3.1基础评分满分10分。由于React Server Components在处理客户端请求的反序列化过程中存在安全缺陷，未授权的远程攻击者可通过构造恶意HTTP请求绕过安全校验，直接调用Node.js底层模块，在目标服务器上执行任意操作系统命令，获取服务器权限。经跟踪研判，漏洞详情及POC已公开，React官方已发布修复版本。

　　漏洞复现：

　　本地实验环境无害化验证效果

　　响应中存在 E{"digest"以及状态码为 500，即存在漏洞

　　如果是已修复的RSC版本添加了额外的检查，不会返回500