漏洞名称:
React/Next.js 远程命令执行漏洞(CVE-2025-55182/CVE-2025-66478)
组件名称:
React
影响范围:
React 19.0.0
React 19.1.0
React 19.1.1
React 19.2.0
Next.js 15.x
Next.js 16.x
Next.js 14.3.0-canary.77及后续canary版本
漏洞类型:
反序列化
利用条件:
1、用户认证:无需用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,无需授权即可远程命令执行。
<综合评定威胁等级>:高危,可造成远程命令执行。
官方解决方案:
已发布
漏洞分析
组件介绍
React 是一个开源的移动应用开发框架,它允许开发者使用 JavaScript 和 React 的语法来构建原生移动应用。
漏洞简介
2025年12月4日,深瞳漏洞实验室监测到一则React组件存在反序列化漏洞的信息,漏洞编号:CVE-2025-55182/CVE-2025-66478,漏洞威胁等级:严重。
React Server Components 存在远程命令执行漏洞,该漏洞对 React 19 版本及基于该版本的相关框架均构成威胁,其中 Next.js 已对应产生衍生漏洞(CVE-2025-66478)。该漏洞在于对不受信任输入的处理逻辑存在缺陷,采用受影响版本 React 服务器组件开发的应用,可能被攻击者利用该缺陷实现远程命令执行。
以下三个核心软件包的 19.0.0、19.1.0、19.1.1 及 19.2.0 版本均存在该漏洞:react-server-dom-parcel、react-server-dom-webpack、react-server-dom-turbopack。
由于上述软件包被多款主流框架及打包工具嵌入或依赖,其影响范围进一步扩大,其中 Next.js 受影响版本覆盖 14.x(高于14.3.0-canary.77)、15.0.x(低于 15.0.5)、15.1.x(低于 15.1.9)、15.2.x(低于 15.2.6)、15.3.x(低于 15.3.6)、15.4.x(低于 15.4.8)、15.5.x(低于 15.5.7)、16.0.x(低于 16.0.7)以及 Vite、Parcel、React Router、RedwoodSDK、Waku 等支持 React 服务器组件实现的框架与插件。
复现情况
深信服深瞳实验室已复现该漏洞,截图如下:
影响范围
目前受影响的React版本:
React 19.0.0
React 19.1.0
React 19.1.1
React 19.2.0
Next.js 15.x
Next.js 16.x
Next.js 14.3.0-canary.77及后续canary版本
解决方案
官方修复建议
React官方已发布最新版本修复该漏洞,请受影响用户更新到以下版本:
React 19.0.1
React 19.1.2
React 19.2.1
升级命令:
npm install react@latest react-dom@latest
参考链接:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Next.js框架已发布最新版本修复该漏洞,请受影响用户更新到以下版本:
15.0.5
15.1.9
15.2.6
15.3.6
15.4.8
15.5.7
16.0.7
升级命令:npm install next@版本号
临时修复建议
关闭未使用的功能模块,减少潜在攻击入口。
遵循最小权限原则,严控各类敏感操作权限范围。
非必要不暴露服务到公网,限制访问源为可信范围。
定期更新系统及各类组件至安全版本,及时修补已知隐患。
深信服解决方案
1、风险资产发现
支持对React的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服云镜YJ】 已发布资产检测方案,指纹ID:0031703。
【深信服漏洞评估工具TSS】已发布资产检测方案,指纹ID:0031703。
2、漏洞主动检测
支持对React/Next.js 远程命令执行漏洞(CVE-2025-55182/CVE-2025-66478)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜YJ】预计2025年12月06日发布检测方案,规则ID:SF-2025-01574。
【深信服安全检测与响应平台XDR】预计2025年12月06日发布检测方案(需要具备云镜组件能力),规则ID:SF-2025-01574。
3、漏洞安全监测
支持对React/Next.js 远程命令执行漏洞(CVE-2025-55182/CVE-2025-66478)的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:
【深信服安全感知管理平台SIP】预计2025年12月04日发布监测方案,规则ID:11220100。
【深信服安全托管服务MSS】预计2025年12月04日发布监测方案(需要具备SIP组件能力),规则ID:11220100。
【深信服安全检测与响应平台XDR】预计2025年12月04日发布监测方案,规则ID:11220100。
【深信服流量检测GPT】流量检测GPT基于攻击理解、代码理解能力,不依赖规则即可检测该攻击威胁。
4、漏洞安全防护
支持对React/Next.js 远程命令执行漏洞(CVE-2025-55182/CVE-2025-66478)的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:
【深信服下一代防火墙AF】预计2025年12月04日发布防护方案,规则ID:11220100。
【深信服Web应用防火墙WAF】预计2025年12月04日发布防护方案,规则ID:11220100。
【深信服安全托管服务MSS】预计2025年12月04日发布防护方案(需要具备AF组件能力),规则ID:11220100。
【深信服安全检测与响应平台XDR】预计2025年12月04日发布防护方案(需要具备AF组件能力),规则ID:11220100。
参考链接
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
时间轴
2025/12/04
深瞳漏洞实验室监测到React/Next.js 远程命令执行漏洞信息。
2025/12/04
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
