一、漏洞概要
漏洞名称 | React/Next.js 远程命令执行漏洞(CVE-2025-55182/CVE-2025-66478) |
发布时间 | 2025年12月4日 |
组件名称 | React |
影响范围 | React 19.0.0 React 19.1.0 React 19.1.1 React 19.2.0 Next.js 15.x Next.js 16.x Next.js 14.3.0-canary.77及后续canary版本 |
漏洞类型 | 反序列化 |
利用条件 | 1、用户认证:无需用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:容易,无需授权即可远程命令执行。 <综合评定威胁等级>:高危,可造成远程命令执行。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1 组件介绍
React 是一个开源的移动应用开发框架,它允许开发者使用 JavaScript 和 React 的语法来构建原生移动应用。
2.2 漏洞描述
2025年12月4日,深瞳漏洞实验室监测到一则React组件存在反序列化漏洞的信息,漏洞编号:CVE-2025-55182/CVE-2025-66478,漏洞威胁等级:严重。
React Server Components 存在远程命令执行漏洞,该漏洞对 React 19 版本及基于该版本的相关框架均构成威胁,其中 Next.js 已对应产生衍生漏洞(CVE-2025-66478)。该漏洞在于对不受信任输入的处理逻辑存在缺陷,采用受影响版本 React 服务器组件开发的应用,可能被攻击者利用该缺陷实现远程命令执行。以下三个核心软件包的 19.0.0、19.1.0、19.1.1 及 19.2.0 版本均存在该漏洞:react-server-dom-parcel、react-server-dom-webpack、react-server-dom-turbopack。
由于上述软件包被多款主流框架及打包工具嵌入或依赖,其影响范围进一步扩大,其中 Next.js 受影响版本覆盖 14.x(高于14.3.0-canary.77)、15.0.x(低于 15.0.5)、15.1.x(低于 15.1.9)、15.2.x(低于 15.2.6)、15.3.x(低于 15.3.6)、15.4.x(低于 15.4.8)、15.5.x(低于 15.5.7)、16.0.x(低于 16.0.7)以及 Vite、Parcel、React Router、RedwoodSDK、Waku 等支持 React 服务器组件实现的框架与插件。
三、影响范围
目前受影响的React版本:
React 19.0.0
React 19.1.0
React 19.1.1
React 19.2.0
Next.js 15.x
Next.js 16.x
Next.js 14.3.0-canary.77及后续canary版本
官方修复建议
React官方已发布最新版本修复该漏洞,请受影响用户更新到以下版本:
React 19.0.1
React 19.1.2
React 19.2.1