漏洞描述:
攻击者可发送恶意该请求在反序列化时会导致无限循环从而使服务器进程挂起,并阻止后续的HTTP请求
影响产品及版本:
React Server Components相关组件,具体包括react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack
受影响版本为19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0和19.2.1
影响产品:
1、 React Server < 19.0.3
2、 React Server < 19.1.4
3、 React Server < 19.2.3
4、 Next.js 14.x < 14.2.35
5、 Next.js 15.0.x < 15.0.7
6、 Next.js 15.1.x < 15.1.11
7、 Next.js 15.2.x < 15.2.8
8、 Next.js 15.3.x < 15.3.8
9、 Next.js 15.4.x < 15.4.10
10、 Next.js 15.5.x < 15.5.9
11、 Next.js 15.x canary < 15.6.0-canary.60
12、 Next.js 16.0.x < 16.0.10
13、 Next.js 16.x canary < 16.1.0-canary.19
修复建议:
补丁名称:
Rеасt Sеrvеr Cоmроnеntѕ漏洞的补丁-更新至最新版本19.2.3
文件链接:
https://github.com/facebook/react/releases/tag/v19.2.3