news 2026/7/10 10:54:48

React RSC 新漏洞可导致 DoS 和源代码泄露

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
React RSC 新漏洞可导致 DoS 和源代码泄露

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

React团队修复了React服务器组件(RSC)中的两个新漏洞,如遭成功利用,可能导致拒绝服务(DoS)或源代码泄露。

React 团队表示,这些漏洞是安全社区在尝试利用此前已遭利用漏洞CVE-2025-55182(CVSS评分:10.0)的补丁时发现的。

新发现的漏洞如下:

  • CVE-2025-55184(CVSS评分:7.5):预认证拒绝服务漏洞,因对HTTP请求至服务器函数端点的payload进行不安全反序列化造成,可能触发无限循环导致服务器进程挂起,并可能阻止后续HTTP请求的处理。

  • CVE-2025-67779(CVSS评分:7.5):由CVE-2025-55184的修复方案不完整造成,与该漏洞的影响一致。

  • CVE-2025-55183(CVSS评分:5.3):信息泄露漏洞,向存在漏洞的服务器函数发送特殊构造的HTTP请求时,可能返回任意服务器函数的源代码。

需要说明的是,成功利用CVE-2025-55183需要满足特定条件:必须存在一个服务器函数,该函数显式或隐式地暴露了已被转换为字符串格式的参数。

这些漏洞影响以下版本的 “react-server-dom-parcel”、“react-server-dom-turbopack” 和 “react-server-dom-webpack”:

  • CVE-2025-55184与CVE-2025-55183:19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0及19.2.1版本。

  • CVE-2025-67779:19.0.2、19.1.3及19.2.2版本。

其中,两个DoS 漏洞由安全研究员RyotaK和Shinsaku Nomura通过Meta漏洞赏金计划报送,而信息泄露漏洞由Andrew MacPherson报送。鉴于CVE-2025-55182正被积极探测利用,建议用户尽快升级至19.0.3、19.1.4和19.2.3版本。

React团队指出:“当严重漏洞被披露时,研究人员会细致审计相邻代码路径,寻找变种利用技术以测试初始缓解措施能否被绕过。这种模式普遍存在于整个行业而不仅限于JavaScript领域。虽然披露更多的漏洞可能令人沮丧,但它们通常表明健康的应急响应周期。”

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

速修复!React满分漏洞同时影响 Next.js,可导致未认证RCE

热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

原文链接

https://thehackernews.com/2025/12/new-react-rsc-vulnerabilities-enable.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/10 9:21:19

FreePBX 修复多个严重漏洞

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源的 PBX 平台 FreePBX 上存在多个漏洞,其中一个严重漏洞在某些配置下课导致认证绕过漏洞。这些漏洞由 Horizon3.ai 团队发现并在2025年9月15日报送给项目维护人员。这些漏洞如…

作者头像 李华
网站建设 2026/7/10 11:46:50

解码企业管理新范式:如何以技术驱动实现企业全周期价值跃升

在数字化浪潮与产业升级的双重变革下,企业管理的核心已从传统的流程管控,演进为以资本化加速、合规化运营、精益化增长为目标的战略赋能。选择一家真正具备深厚实力、技术底蕴与全景服务能力的合作伙伴,已成为企业在激烈竞争中构筑护城河的关…

作者头像 李华
网站建设 2026/7/10 12:51:01

EmotiVoice使用指南:快速上手高表现力TTS模型

EmotiVoice使用指南:快速上手高表现力TTS模型 在虚拟助手越来越“懂人心”、游戏角色开始“真情流露”的今天,语音合成早已不再是简单地把文字念出来。用户期待的是有温度、有情绪、像真人一样的声音——而这一点,正是传统TTS系统的短板。 机…

作者头像 李华
网站建设 2026/7/9 14:30:45

企业级实战:CentOS7+Nginx高可用集群部署指南

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 设计一个基于CentOS7的Nginx高可用负载均衡解决方案。要求包含:1) 两台服务器的集群部署方案;2) Keepalived配置实现虚拟IP自动切换;3) Nginx up…

作者头像 李华
网站建设 2026/7/10 6:32:00

AI如何优化Kingston存储设备格式化流程

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 开发一个AI辅助工具,用于自动检测Kingston存储设备的状态,并根据设备类型和健康状况推荐最佳格式化方案。工具应包含以下功能:1. 自动识别Kingst…

作者头像 李华
网站建设 2026/7/10 11:19:05

Android 系统的权限管理最佳实践

简述 随着谷歌对 隐私保护 的越来越重视,随着版本的迭代 Android 系统版本对权限管理也是逐步提升,核心理念是围绕 用户隐私安全与 最小权限原则进行升级。早期的 "一揽子授权" 已成为历史,现代 Android 系统强调更细粒度、更透…

作者头像 李华