紧急修复内容
Dify 于 2025 年 12 月 5 日发布 1.10.1-fix.1 版本更新。该版本重点升级多项核心依赖,后端将 pyarrow 升至 17.0.0、werkzeug 更新至 3.1.4、urllib3 迭代至 2.5.0;前端采用 React 19.2.1 修复 CVE-2025-55182 安全漏洞,并同步更新 Next.js 至 15.5.7。
关于CVE-2025-55182 安全漏洞
CVE-2025-55182是一个影响React Server Components(RSC)的高危远程代码执行漏洞,CVSS评分10.0(最高级别)。该漏洞源于React在处理客户端请求时的反序列化机制缺陷,攻击者可通过构造恶意HTTP请求,在无需身份验证的情况下实现服务器端远程代码执行,潜在风险包括数据窃取、系统控制权丧失等。
核心信息:
漏洞本质:反序列化逻辑缺陷导致的原型污染,影响react-server-dom-webpack等核心包(19.0.0-19.2.0版本)
影响范围:Next.js 15.x/16.x、React Router等使用RSC的框架,需同时满足App Router和RSC启用条件
修复方案:立即升级React至19.2.1+,Next.js对应版本需升级至15.5.7+或特定修复版本(如15.0.x→15.0.5)
安全建议:未使用React服务端组件的项目不受影响,建议通过依赖扫描工具核查版本并优先更新生产环境
该漏洞凸显了现代前端框架服务端能力带来的安全挑战,及时补丁部署是当前最有效的防护手段。
