IT之家 12 月 4 日消息,热门 JavaScript 框架 React 昨日发布官方公告,React Server Components 中存在一个未经身份验证的远程代码执行漏洞,建议开发者立即升级修补漏洞。
11 月 29 日,Lachlan Davidson 报告了 React 中的一个安全漏洞,该漏洞允许通过利用 React 解码发送到 React Server Function 端点的有效负载的方式来实现未经身份验证的远程代码执行。
React 官方表示,即使你的应用没有实现任何 React Server Function 端点,如果应用支持 React Server Components,它仍然可能存在漏洞。
此漏洞被披露为 CVE-2025-55182,并被评为 CVSS 10.0。React Server Functions 允许客户端调用服务器上的函数,React 将客户端的请求转换为 HTTP 请求,并将这些请求转发到服务器。在服务器上,React 将 HTTP 请求转换为函数调用,并将所需数据返回给客户端。未经身份验证的攻击者可以构造一个恶意的 HTTP 请求,发送到任何 Server Function 端点,当 React 反序列化该请求时,会在服务器上实现远程代码执行。
IT之家从公告获悉,此漏洞存在于 React 的以下版本中:19.0、19.1.0、19.1.1 和 19.2.0。官方在 19.0.1、19.1.2 和 19.2.1 版本中引入了修复,官方建议立即升级到已修复的版本。
如果应用的 React 代码不使用服务器,或者不使用支持 React Server Components 的框架、打包器或打包器插件,则应用不受此漏洞影响。
需要注意的是,一些 React 框架和打包工具有对等依赖或包含有漏洞的 React 包。受影响的 React 框架和打包工具包括:next、react-router、waku、@parcel / rsc、@vitejs / plugin-rsc 和 rwsdk。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
