React是用于构建用户界面的开源JavaScript库，使用较为广泛，其界面渲染组件React Server Components近日曝出存在远程代码执行漏洞（漏洞编号：CNVD-2025-29924），未经授权的攻击者可远程发送构造的恶意请求触发该漏洞，在目标服务器执行任意代码，获取服务器控制权限。React软件19.0.0\19.1.0\19.1.1\19.2.0版本，以及Next.js等JS框架受此漏洞影响。React、Next.js已修复漏洞并发布安全公告。

React安全公告链接：https://react.dev/blog/2025/12/03/critical-security-vulmerability-in-react-server-components。

Next.js安全公告链接：https://nextjs.org/blog/CVE-2025-66478。

请各单位排查React开源库使用情况，及时升级版本修复漏洞，做好网络安全加固，消除风险隐患。