React 与 Next.js 爆出严重远程代码执行漏洞,官方发布紧急修复版本
安全公司 Wiz 披露,React Server Components (RSC) 的 “Flight” 协议中出现严重远程代码执行漏洞,影响 React 19 及以其为基础的框架,主要包括 Next.js。两项漏洞编号为 CVE-2025-55182(React)与 CVE-2025-66478(Next.js),攻击者仅需发送特制的 HTTP 请求即可在服务器端执行代码,测试显示成功率接近 100%。
问题源于默认配置下的不安全反序列化逻辑,导致开发者无需改动代码即可能被攻击。Wiz 研究显示,约 39% 云环境含有存在风险的实例。React 与 Next.js 已发布加固版本,安全团队被建议立即升级以防被利用。
Wiz Blog
🍀在花频道 🍵茶馆 📮投稿新鲜事
安全公司 Wiz 披露,React Server Components (RSC) 的 “Flight” 协议中出现严重远程代码执行漏洞,影响 React 19 及以其为基础的框架,主要包括 Next.js。两项漏洞编号为 CVE-2025-55182(React)与 CVE-2025-66478(Next.js),攻击者仅需发送特制的 HTTP 请求即可在服务器端执行代码,测试显示成功率接近 100%。
问题源于默认配置下的不安全反序列化逻辑,导致开发者无需改动代码即可能被攻击。Wiz 研究显示,约 39% 云环境含有存在风险的实例。React 与 Next.js 已发布加固版本,安全团队被建议立即升级以防被利用。
Wiz Blog
🍀在花频道 🍵茶馆 📮投稿新鲜事
