10级漏洞刚补完，React又报漏洞了

上周刚追完 10 级补丁，以为能喘口气了？还不行。
12 月 12 日，React 官方确认，研究人员在验证上周补丁时，竟又在 React Server Components（RSC）里发现了两处新漏洞。
过去一周，React2Shell 漏洞的余威仍在：服务器被劫持挖矿、云厂商紧急封禁、甚至引发 ；为了把风险压下去，Vercel 甚至在一个周末就付出了 75 万美元的漏洞赏金与应急处置成本。一次前端框架的漏洞，直接打穿了整个技术栈。React 官方连续发布紧急通告，反复强调“请立即升级”，短时间内已经是第二次大规模补丁更新。
这次披露的两个漏洞分别是：高危 DoS（拒绝服务）CVE-2025-55184，单个请求即可导致服务器崩溃；以及中危源码泄露 CVE-2025-55183，可能泄露 React Server Components 的源代码。

一个 React 漏洞，撼动全球 Web
过去一周，一个被称为 React2Shell 的漏洞席卷了整个互联网行业。之所以引发如此级别的震荡，根本原因只有一个：React 的地位太重要了，它几乎是现代 Web 的“默认底座”。
从 Meta 自家的 Facebook、Instagram，到 Netflix、Airbnb、Shopify、Walmart、Asana 等大型平台，统统都离不开它；更不用说数以百万计的开发者生态，并且还有很多框架都依赖于存在漏洞的 React 包。
React 团队将其编号为 CVE-2025-55182，其在通用漏洞评分系统中获得了满分 1