【漏洞通告】React Server Components 远程代码执行漏洞风险通告(CVE-2025-55182)
Dec 09, 2025
2025年12月4日,阿里云安全监测到,Meta的React核心团队与Vercel的Next.js团队联合发布公告,披露了两个最高危险等级(Critical)的安全漏洞:CVE-2025-55182(React)和CVE-2025-66478 (Next.js),在一定条件下,攻击者可利用漏洞执行任意代码。同时,阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。
为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞情况
React Server Components(RSC)是React 19新引入的一种组件类型,广泛用于Next.js等框架中进行渲染服务。在CVE-2025-55182中,由于在解析客户端提交的表单时缺乏校验,攻击者可构造恶意请求调用相关内置模块,最终导致未授权代码执行。同时由于RSC已被 Next.js等主流框架中采用,例如 Next.js 15.x、16.x等版本中引用了受影响的React组件包,因此同样受影响,其对应CVE号为CVE-2025-66478。
影响范围
针对React组件,其受影响版本如下:
react-server-dom-parcel 19.0、19.1.0、19.1.1、19.2.0
react-server-dom-turbopack 19.0、19.1.0、19.1.1、19.2.0
react-server-dom-webpack 19.0、19.1.0、19.1.1、19.2.0
针对Next.js,其受影响范围如下:
14.3.0-canary.77 <= Next < 15.0.5
15.1.0 <= Next < 15.1.9
15.2.0 <= Next < 15.2.6
15.3.0 <= Next < 15.3.6
15.4.0 <= Next < 15.4.8
15.5.0 <= Next < 15.5.7
16.0.0 <= Next < 16.0.7
修复建议
排查应用中是否引入了相关受影响的React组件以及相关框架(如Nextjs等),若存在,强烈推荐升级至安全版本。例如针对Next.js 框架用户,根据使用版本执行相关命令升级。
npm install next@15.0.5 # for 15.0.x
npm install next@15.1.9 # for 15.1.x
npm install next@15.2.6 # for 15.2.x
npm install next@15.3.6 # for 15.3.x
npm install next@15.4.8 # for 15.4.x
npm install next@15.5.7 # for 15.5.x
npm install next@16.0.7 # for 16.0.x
若使用Next.js 14.3.0-canary.77等及其之后的canary版本,则建议降低至Nextjs 14稳定版本。
npm install next@14
其它框架使用者可以参考https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components进行相关排查与升级。
相关参考链接:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://nextjs.org/blog/CVE-2025-66478
https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp
https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r
https://avd.aliyun.com/detail?id=AVD-2025-66478
https://avd.aliyun.com/detail?id=AVD-2025-55182