2025年12月3日,React 团队和 Next.js 团队联合发布了紧急安全公告,披露了两个危险系数达到 CVSS 10分(满分)的高危漏洞:React Server Components 远程代码执行漏洞(CVE-2025-55182)和 Next.js 远程代码执行漏洞(CVE-2025-66478)。面对这一突发高危漏洞,EdgeOne 于2025年12月4日迅速上线针对性防护规则,助力用户实现自动化实时防御,保障业务系统安全稳健运行。
01
此次披露的两条高危漏洞均发生在 React 和 Next.js 的服务端渲染模块中。攻击者可通过精心构造的恶意请求,绕过正常的安全校验机制,在服务端远程执行任意代码,无需身份认证即可发动攻击。攻击者一旦成功渗透,便能对服务器上的网站数据进行篡改、窃取,甚至植入后门或恶意程序。
漏洞复杂度低、利用门槛极小,使其成为当前安全环境中的重大隐患,严重威胁全球使用 React 及 Next.js 技术栈的企业与组织。该漏洞涵盖主流技术版本:React 19.0.0 至 19.2.0 所有服务端渲染组件,以及 Next.js 14.3.0-canary.77 至 16.0.7 多个主要版本。
02
针对以上漏洞,EdgeOne 上线了对应的防护能力,提供自动更新的托管规则,无需干预就可以自动覆盖新的漏洞,快速搞定安全防护👇
托管规则包括开源组件漏洞防护:EdgeOne 安全托管规则库已新增「开源组件漏洞」专项规则;
自动更新机制:启用「自动更新」功能后,EdgeOne 会实时同步最新安全规则,无需用户手动干预;
自动防护配置:用户可开启「开源组件漏洞」规则的「自动防护」模式,并选择「拦截」处置动作,实现针对 CVE-2025-55182 等漏洞的自动化拦截和防护;
适用范围:标准版/企业版套餐开启自动更新后,可以自动获取最新漏洞防御策略;基础版套餐手动更新后,可覆盖最新漏洞。点击文末「阅读原文」订阅套餐开启防护。
截至2025年12月4日19:00,EdgeOne 已成功拦截 CVE-2025-55182 的漏洞攻击2万余次,快速为业务构建起了安全防线。您无需担心突发漏洞带来的风险,EdgeOne 始终守护您的业务安全!
