一、漏洞详情

React是由Meta开源、用于构建用户界面的JavaScript库。其“React Server Components”（RSC）架构允许组件在服务端渲染并序列化输出，通过“Flight”协议以JSON-like流式格式发送到客户端，实现零客户端JS体积的交互体验。

近日，监测到发现React Server Components远程代码执行漏洞(CVE-2025-55182)和Next.js远程代码执行漏洞(CVE-2025-66478)，此漏洞主要影响react-server-dom-webpack的Server Actions功能。由于在解析客户端提交的表单时缺少安全校验，攻击者可通过构造恶意表单请求，直接调用Node.js内置模块，从而在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务；同时由于Next.js 15.x和16.x版本在使用App Router时，依赖了存在缺陷的React服务端DOM包，导致攻击者同样可以注入恶意代码远程执行命令。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

react-server-dom-parcel：19.0.0、19.1.0、19.1.1 和 19.2.0

react-server-dom-webpack：19.0.0、19.1.0、19.1.1 和 19.2.0

react-server-dom-turbopack：19.0.0、19.1.0、19.1.1 和 19.2.0

Next.js  ≥14.3.0-canary.77、≥15 和 ≥16

三、修复建议

官方已发布修复版本，具体升级方式可参考官方安全公告：

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components