最近幾天關(guān)于“React Server Components 遠(yuǎn)程代碼執(zhí)行漏洞”的討論經(jīng)歷了過(guò)山車般的起伏反轉(zhuǎn)。電科網(wǎng)安（002268）經(jīng)過(guò)持續(xù)的跟蹤研判、分析復(fù)現(xiàn)，確認(rèn)該漏洞在實(shí)戰(zhàn)中可以做到對(duì)依賴了漏洞版本React Server Components的應(yīng)用產(chǎn)生實(shí)質(zhì)性危害。基于Next.js框架開(kāi)發(fā)的應(yīng)用是重災(zāi)區(qū)，截止發(fā)稿時(shí)，已知著名的開(kāi)源AI應(yīng)用低代碼框架Dify，以及個(gè)人AI助手開(kāi)發(fā)框架LobeHub可以實(shí)現(xiàn)無(wú)條件回顯RCE，已經(jīng)監(jiān)測(cè)到在野利用。強(qiáng)烈建議及時(shí)采取修復(fù)措施以避免受到損失，相關(guān)資產(chǎn)應(yīng)避免直接暴露在互聯(lián)網(wǎng)。

　　漏洞名稱：React Server Components 遠(yuǎn)程代碼執(zhí)行漏洞

　　漏洞編號(hào)：CVE-2025-55182、CVE-2025-66478

　　漏洞等級(jí)：超危

　　漏洞概要：

　　React是由Meta(原Facebook)公司主導(dǎo)開(kāi)發(fā)的流行JavaScript前端庫(kù)，采用組件化開(kāi)發(fā)模式，主要用于構(gòu)建現(xiàn)代Web用戶界面和單頁(yè)應(yīng)用程序。React Server Components(RSC)支持服務(wù)端渲染與序列化輸出，通過(guò)Flight協(xié)議實(shí)現(xiàn)高效的流式數(shù)據(jù)傳輸，顯著提升了應(yīng)用性能并優(yōu)化了客戶端資源加載，被Next.js等主流框架廣泛采用。對(duì)于使用 Next.js App Router等現(xiàn)代全�？蚣艿捻�(xiàng)目，RSC 通常是其核心架構(gòu)的一部分，直接受到該漏洞影響。

　　React Server Components 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2025-55182)及關(guān)聯(lián)的Next.js 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2025-66478)，CVSS3.1基礎(chǔ)評(píng)分滿分10分。由于React Server Components在處理客戶端請(qǐng)求的反序列化過(guò)程中存在安全缺陷，未授權(quán)的遠(yuǎn)程攻擊者可通過(guò)構(gòu)造惡意HTTP請(qǐng)求繞過(guò)安全校驗(yàn)，直接調(diào)用Node.js底層模塊，在目標(biāo)服務(wù)器上執(zhí)行任意操作系統(tǒng)命令，獲取服務(wù)器權(quán)限。經(jīng)跟蹤研判，漏洞詳情及POC已公開(kāi)，React官方已發(fā)布修復(fù)版本。

　　漏洞復(fù)現(xiàn)：

　　本地實(shí)驗(yàn)環(huán)境無(wú)害化驗(yàn)證效果

　　響應(yīng)中存在 E{"digest"以及狀態(tài)碼為 500，即存在漏洞

　　如果是已修復(fù)的RSC版本添加了額外的檢查，不會(huì)返回500

　　Dify框架回顯RCE復(fù)現(xiàn)效果

　　LobeHub框架回顯RCE復(fù)現(xiàn)效果

　　Next.js工程命令執(zhí)行復(fù)現(xiàn)效果

　　受影響條件：

　　使用了服務(wù)端渲染（SSR）的React應(yīng)用

　　默認(rèn)使用RSC的全�？蚣苋鏝ext.js

　　不受影響條件：

　　純前端頁(yè)面：即客戶端渲染（CSR），React 應(yīng)用沒(méi)有服務(wù)器端代碼

　　未啟用 RSC：React 應(yīng)用沒(méi)有使用RSC功能

　　前后端分離項(xiàng)目：React 僅作純前端，后端為其他技術(shù)棧

　　影響范圍：

　　React Server Components核心包

　　react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack

　　19.0.0-19.0.1 || 19.1.0-19.1.1 || 19.2.0

　　依賴RSC的框架如Next.js v15.0.0 <= Next.js <= v15.0.4

　　v15.1.0 <= Next.js <= v15.1.8

　　v15.2.x <= Next.js <= v15.5.6

　　v16.0.0 <= Next.js <= v16.0.6

　　Next.js v14.3.0-canary.77 及以上 Canary 版本

　　安全版本：

　　React Server Components核心包

　　react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack

　　19.1.2 || 19.2.1

　　依賴RSC的框架如Next.js Next.js >= v15.0.5

　　Next.js >= v15.1.9

　　Next.js >= v15.5.7

　　Next.js >= v16.0.7

　　修復(fù)方案

　　React Server Components建議升級(jí)到19.2.1及以上版本

　　查看當(dāng)前RSC核心包版本

　　npm list react react-dom react-server-dom-webpack

　　安裝最新版核心包

　　npm install react@latest react-dom@latest react-server-dom-webpack@latest

　　依賴RSC的框架如Next.js建議升級(jí)到16.0.7及以上版本

　　查看當(dāng)前Next.js版本

　　npm list next

　　安裝指定安全版本

　　npm install next@[安全版本]