-
-
漏洞预警 | React/Next.js组件存在RCE漏洞(CVE-2025-58360)
-
发表于: 2025-12-4 13:48
-
一、漏洞概述
漏洞类型 | 远程代码执行 |
漏洞等级 | 高 |
漏洞编号 | CVE-2025-55182 |
漏洞评分 | 10.0 |
利用复杂度 | 低 |
影响版本 | React/Next.js多个版本 |
利用方式 | 远程 |
POC/EXP | 已公开 |
近日,React 核心团队确认了一个存在于 React Server Components (RSC) 实现中的严重远程代码执行 (RCE) 漏洞。该漏洞被分配了 CVE-2025-55182(Next.js 对应编号 CVE-2025- 66478),攻击者无需任何身份验证,仅通过一个 HTTP 请求,即可在你的服务器上执行任意代码。
React是一个用于构建用户界面的JavaScript库,广泛用于开发单页应用程序和移动应用程序。
据描述,受影响版本的React 服务器组件实现的应用程序可能会以允许攻击者执行远程代码的方式处理不受信任的输入,在特定条件下,精心构造的请求可能导致远程代码执行。
漏洞影响的产品和版本:
React Server 19.0.0
React Server 19.0.1
React Server 19.1.*
React Server 19.2.0
Next.js v15.0.0 - v15.0.4
Next.js v15.1.0 - v15.1.8
Next.js v15.2.x -v15.5.6
Next.js v16.0.0 - v16.0.6
Next.js v14.3.0-canary.77及以上Canary 版本
二、漏洞复现
三、资产测绘
据daydaymap数据显示互联网存在8,209,309个资产,国内风险资产分布情况如下。
四、解决方案
▪ 临时缓解方案
1.在 WAF 中拦截异常 RSC 请求
2.对 RSC 端点实施IP 白名单或速率限制
▪ 升级修复
目前官方已发布修复安全补丁
464K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6J5k6h3q4U0N6q4)9J5k6h3c8W2N6W2)9J5c8X3u0D9L8$3N6Q4x3V1j5J5x3o6t1#2i4K6u0r3x3e0u0Q4x3V1j5H3x3#2)9J5c8X3y4J5K9i4c8A6j5$3q4D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8$3N6h3I4F1k6i4u0S2j5X3W2D9K9i4c8&6i4K6u0V1K9h3&6Q4x3X3c8J5k6h3q4U0N6q4)9J5k6s2y4W2M7Y4k6W2M7W2)9J5k6r3y4G2L8i4m8G2L8X3g2F1N6l9`.`.
五、参考链接
5ffK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2K9Y4m8A6M7W2)9J5c8V1y4h3c8g2)9J5k6o6t1H3x3U0g2Q4x3X3b7#2y4e0p5^5x3W2)9J5k6s2m8G2j5H3`.`.
c99K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2V1k6s2m8G2j5#2)9J5k6h3y4G2L8g2)9J5c8V1c8h3b7W2)9J5k6o6t1H3x3U0g2Q4x3X3b7I4x3o6b7I4x3W2)9J5k6h3S2@1L8h3H3`.
|
|
|---|---|
