北京赛克艾威科技有限公司 2025-12-04
React Server Components(RSC)是 React 19 的服务端渲染与组件流式传输机制,于 2024 年 12 月 5 日发布正式版本,用于在服务端解析组件与模型数据并输出渲染结果,广泛用于 Next.js、Vercel 与各类 Node.js 渲染服务。 受影响版本中,RSC 在处理 ReplyFlightStream 的反序列化数据时缺乏必要校验,攻击者可构造任意模型字段、循环结构、Server Reference 与 multipart/form\-data,诱使解析流程进入异常路径并触发模块加载与引用执行链,最终导致未授权代码执行。 修复版本中通过重构 ReactFlightReplyServer 的模型与引用解析逻辑,引入循环检测、受控错误传播与严格状态机,并以 ReactPromise 替代原监听机制。同时加强 multipart/form\-data 的异常处理,所有 bundler 的 server\-dom 模块统一加入错误截断逻辑,有效防止反序列化漏洞。
1. 将组件 react-server-dom-parcel 升级至 19.0.1 及以上版本 2. 将组件 react-server-dom-webpack 升级至 19.0.1 及以上版本 3. 将组件 react-server-dom-turbopack 升级至 19.1.2 及以上版本 4. 将组件 react-server-dom-webpack 升级至 19.2.1 及以上版本 5. 将组件 react-server-dom-turbopack 升级至 19.0.1 及以上版本 6. 将组件 react-server-dom-turbopack 升级至 19.2.1 及以上版本 7. 将组件 react-server-dom-parcel 升级至 19.1.2 及以上版本 8. 将组件 react-server-dom-webpack 升级至 19.1.2 及以上版本 9. 将组件 react-server-dom-parcel 升级至 19.2.1 及以上版本
https://www.oscs1024.com/hd/MPS-qgo0-ypd9
https://nvd.nist.gov/vuln/detail/CVE-2025-55182
https://www.facebook.com/security/advisories/cve-2025-55182
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://github.com/facebook/react/commit/b180cb2b25e60f6d8af5e41673d6983b409fafc3