React警告服务器组件中存在关键RCE漏洞
React的开发者以及全球各地的政府机构和科技公司警告称,React服务器组件中存在一个严重的漏洞,可能导致远程代码执行(RCE)。该安全漏洞(CVE-2025-55182)的影响等级在1到10的评分中被评定为10.0。现已提供安全更新,并呼吁管理员尽快安装。
React是一个非常受欢迎的用于开发Web应用程序用户界面的JavaScript库。React服务器组件使开发人员能够开发主要在服务器上运行的React应用程序,这应该能带来更好的性能和安全性。React服务器组件版本19.0.0、19.1.0、19.1.1和19.2.0中的一个漏洞,使得攻击者通过发送HTTP请求就能够在服务器上执行代码。
"如果使用了上述软件包,请立即升级。此漏洞已在版本19.0.1、19.1.2和19.2.1中得到修复。如果您的应用程序的React代码不使用服务器,那么您的应用程序不易受此漏洞影响。同样,如果您的应用程序未使用支持React服务器组件的框架、打包工具或打包工具插件,您的应用程序也不会受到影响,"荷兰国家网络安全中心(NCSC)表示。
该问题也存在于React框架和所谓的打包工具中,例如Next、React Router和Waku。React的开发者表示,React提供了"集成点"和工具,以便框架和打包工具能够在客户端和服务器上运行React代码。React将客户端的请求转换为HTTP请求,然后转发到服务器。在服务器上,React将HTTP请求转换为函数调用,然后将所需的数据返回给客户端。
"未经身份验证的攻击者可以向任何服务器函数端点发送恶意的HTTP请求,当该请求被React反序列化时,将导致在服务器上远程执行代码,"开发者表示。他们称,将在安全更新部署完成后提供进一步的技术信息。除了NCSC,澳大利亚和意大利政府也发布了警告,还有科技公司如Cloudflare、Fastly和Google。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
