2025年12月4日,React官方、Meta安全团队及多家生态厂商联合披露了一个影响 React Server Components(RSC)的高危远程代码执行(RCE)漏洞,编号为CVE-2025-55182。该漏洞评分为 CVSS 10 分(最高危),攻击者可在无需认证、无需登录的情况下,仅通过构造一条 HTTP 请求,即可在目标服务器上执行任意代码。经过快速分析和确认,该漏洞的PoC已在网络广泛传播,多个攻击团伙正积极尝试利用,我们建议企业第一时间启动应急响应进行修复。
CVE-2025-55182是一个针对React Server Components(RSC)实现机制的未经身份验证的远程代码执行(RCE)漏洞,主要影响以下包:
· react-server-dom-webpack
· react-server-dom-parcel
· react-server-dom-turbopack
根据Wiz数据显示,39%的云环境中存在受CVE-2025-55182/CVE-2025-66478漏洞影响的Next.js或React版本。就Next.js而言,该框架本身存在于69%的云环境中。值得注意的是,其中61%的环境运行着基于Next.js的公开应用程序,这意味着在所有云环境中,有44%存在公开暴露的Next.js实例。(原文链接:https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182)受影响版本:
1. react-server-dom-parcel(19.0.0, 19.1.0, 19.1.1, 19.2.0)
2. react-server-dom-webpack(19.0.0, 19.1.0, 19.1.1, 19.2.0)
3. react-server-dom-turbopack(19.0.0,19.1.0, 19.1.1, 19.2.0)
4. Next.js(15.0.0 Next.js 15.x,16.x 14.3.0-canary.77及更高版本
03
1. 漏洞编号:CVE-2025-55182
2. 漏洞类型:远程代码执行(RCE)
3. 漏洞等级:高危(CVSS 10.0)
4. 公开程度:已公开
为有效应对此类供应链安全风险,思客云为用户提供全面,多方位的检测方案, 思客云公司的找八哥SAST和找八哥SCA产品,用户可在研发与运维体系中引入进行全面检测。
1.思客云找八哥SAST代码级检测方案
思客云找八哥SAST可以支持用户从源代码层面上检测此漏洞,可以全面检测代码仓库,通过CICD或DevSecOps平台启动专项针对性的安全检测。全面、高效、快速地全面排查。如下图所示:
2.思客云找八哥SCA 组件级检测方案
思客云找八哥SCA可以对用户的项目开发工程、发布包,组件库,私有仓库,私有制品库进行分析,检索并报告此漏洞。
Ø找八哥SCA产品列出React的检测详情
Ø找八哥SCA产品React漏洞详情
Ø找八哥SCA产品列出React组件详情
立即升级至安全版本:请将受影响的 react-server-dom-* 包(包括 webpack / parcel / turbopack)升级至以下补丁版本:19.0.1、19.1.2、19.2.1。
06
1.https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182 2.https://nvd.nist.gov/vuln/detail/CVE-2025-55182