严重的 React 漏洞使 Web 服务器面临直接风险

React 生态系统（网络上使用最广泛的技术之一）中新发现的安全漏洞正在引发​​整个科技行业的紧急警告。

该漏洞被称为“React2Shell”，允许攻击者在易受攻击的服务器上以近乎完美的可靠性实现未经身份验证的远程代码执行 (RCE)，从而使数百万个 Web 应用程序和云工作负载面临直接风险。

“完美十”漏洞

该漏洞被跟踪为 CVE-2025-55182 (React) 和 CVE-2025-66478 (Next.js)，CVSS 评级均为 10.0，表明严重程度最高。该缺陷影响该平台的 React Server Components (RSC)，这是一项旨在通过服务器端渲染提高性能的功能。

不幸的是，该缺陷存在于 RSC“Flight”协议中，该协议处理 React 如何在浏览器和服务器之间发送和接收数据。

一个恶意请求就足够了

根据云安全公司Wiz，利用 React2Shell 非常简单。攻击者只需向目标服务器发送特制的 HTTP 请求即可触发 RCE，从而允许他们在别人的机器上运行自己的命令。

研究人员警告说，利用该缺陷非常容易，因为它不需要登录，不需要特殊设置，也不需要与目标进行交互。该攻击通过互联网远程进行，根据内部测试，成功率接近 100%，使其成为现代网络技术中发现的最严重的漏洞之一。

为什么这很重要

React 是元支持的 JavaScript 库，为互联网上的用户界面提供支持，嵌入在现代应用程序的巨大份额中。 Wiz 研究人员发现：

• 6% 的网站使用 React
• 39% 的云环境包含易受攻击的 React 或 Next.js 安装
• 44% 的云环境已公开暴露 Next.js 实例（无论运行哪个版本）

简而言之，现代网络基础设施的很大一部分可能会暴露。主要云提供商——包括AWS、Cloudflare、Google Cloud和Fastly——都急于部署临时防火墙规则，但他们都强调这些只是权宜之计。唯一的永久修复方法是立即更新 React 和受影响的框架。

谁是弱势群体？

易受攻击的 React 包包括：

• 反应服务器 dom webpack
• 反应服务器 dom 包裹
• 反应服务器 dom-turbopack

受影响的版本：19.0、19.1.0、19.1.1和19.2.0

现已提供修补版本：19.0.1、19.1.2、19.2.1

Next.js 用户还必须更新到已修补的版本，包括： 

15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7 以及 14.x 稳定版中的其他版本。

其他可能受影响的框架包括：

• React 路由器（RSC 预览版）
• 红木JS
• Vite RSC 插件
• 包裹 RSC 插件
• 你的

任何捆绑或实现 React Server 组件的框架都可能容易受到攻击。

正在做什么？

React 开发人员已经推出了具有强化验证和更安全反序列化的修补版本。托管提供商（包括 Cloudflare、Google Cloud、AWS 和 Fastly）已激活紧急 Web 应用程序防火墙规则，以阻止已知的漏洞尝试。

然而，警告很明确：临时保护是不够的。开发人员必须立即修补。

已修补的 React 版本：19.0.1、19.1.2 和 19.2.1

已修补的 Next.js 版本：15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7

金丝雀：14.3.0-canary.88 

组织现在应该做什么

1. 立即将 React 和 Next.js 更新到已修补的版本。
2. 检查所有框架或捆绑程序（例如 Redwood、Waku、Vite RSC、Parcel RSC）是否有修补版本。
3. 暂时应用 WAF 规则（如果可用）。
4. 扫描易受攻击的部署，尤其是公共 Next.js 应用程序。
5. 查看服务器日志中是否有可疑的 Flight 有效负载请求。
6. 隔离或限制公众对高风险应用程序的访问，直至修补为止。
7. 假设在生产中运行现代 React 应用程序时存在暴露。

对网络的警钟

随着业界争先恐后地保护受影响系统的安全，专家强调速度至关重要。由于漏洞利用几乎不需要付出任何努力，而且补丁现在已广泛使用，因此迅速采取行动的组织可以在攻击者大规模利用该漏洞之前控制风险。

阅读更多：黑客在 DefCon 上揭露 Apple CarPlay 严重缺陷

React2Shell 漏洞的发现强调，即使是最值得信赖的框架也需要时刻保持警惕，在这样的时刻，修补仍然是保持保护的唯一可靠方法。