紧急预警CVSS 10.0! React史诗级漏洞CVE-2025-55182来袭,如果还没有更新的朋友。一定要尽快行动起来!这不是危言耸听,随着漏洞的公开,已经有更多的“黑客”成功的实现了攻击payload的实验。
12月4日,React官方紧急披露了编号为CVE-2025-55182的远程代码执行漏洞,CVSS评分直接拉满至10.0——这一最高风险等级意味着攻击者无需认证即可轻松拿下服务器。现实情况更加糟糕,39%的云环境存在受该漏洞影响的React或Next.js实例,一场针对前端生态的安全风暴已悄然逼近。
01
漏洞核心原理
该漏洞根源在于React Server Components(RSC)协议的设计缺陷,本质是典型的原型污染导致的不安全反序列化问题。JavaScript的原型链继承特性本是语言基石,但React的requireModule函数缺少关键的hasOwnProperty校验,使得攻击者可通过构造包含\_\_proto\_\_的恶意请求,向Object.prototype注入恶意属性。
这种攻击方式堪称"降维打击":无需复杂技术储备,仅需发送特制HTTP请求,即可触发服务器端任意代码执行。攻击者可借此窃取敏感数据、植入后门程序,甚至横向渗透整个内网,而默认配置的生产环境就处于暴露状态,无任何额外攻击前置条件。
这个漏洞出现如此严重的一个原因,是现在互联网应用使用JavaScript作为全栈语言的所谓前后端统一的趋势造成的。这和原先JavaScript只作为前端静态语言在用户的浏览器运行已经不一样了。而且更严重的是,不少开发者误以为未主动使用服务端函数就万事大吉,React团队明确警示:"只要支持RSC,即便无服务端端点仍可能受攻击"。
02
影响范围
如果你的开发者,需要明确知道受影响的范围。
核心受影响包 :react-server-dom-webpack、react-server-dom-parcel等19.0.0至19.2.0版本;
主流框架 :Next.js 15.x全系列、16.x全系列及测试版,React Router、Waku等均受波及;
关键触发条件 :使用App Router并启用RSC,Pages Router及旧版测试版暂不受影响。
简单三步即可自查:查看是否使用上述受影响包版本、是否启用RSC、项目是否部署在公网环境,三者满足即需紧急处理。
如果你不是开发者,也需要知道。像Dify,Umami,FastGPT,还有Next.js 15+ 构建的企业后台管理系统,全部无一幸免。只要暴露在公网能访问的这些应用,都面临巨大的风险。
图1 Dify的1.10.1Fix
其风险包括但不限于,被安装各种挖矿脚本,被盗取重要的信息(如获取数据库内容,APIkey),中毒变成“肉鸡”(成为攻击别人的帮凶)。
03
安全警示
此次漏洞打破了"前端无高危漏洞"的认知误区。从11月29日漏洞报告到12月3日补丁发布,React团队虽实现了快速响应,但仍需警惕攻击者逆向补丁发起大规模攻击。建议企业建立依赖包定期审计机制,尤其关注React、Next.js等核心框架的安全更新。
同时全面梳理企业所使用的技术栈,凡是与React、Next.js相关的自研应用,还有包括使用的开源应用,都需要更新到安全版本。
另外就是安全问题其实一直都存在,只因为修复或者加固安全不产生直接的收益,所以企业为了省成本,不会重点投入。但一旦出现严重问题,所造成的损失就非常大。互联网远比普通人认知的要危险和脆弱的多,麦金叔的后台服务器,也经常遭到恶意访问。当然有些是随机扫描,有些则是针对性的攻击。这个湖北襄阳的IP,访问次数已经累积300多万次,还在不停地恶意访问。
总结
虽然没有第一时间发文提醒读者行动起来,因为上周五已经有一波热点了。今天发文的目的是,没有在上周五加班抢修的朋友,不要过了一个周末,把重要且紧急的事情,又忘记了。
如果你对AI的发展感兴趣,欢迎一键三连。有任何问题可以添加好友(二维码可以找前面文章的末尾),我们共同探讨。