React曝严重远程代码执行漏洞，速修CVE-2025-55182

12月4日，主流JavaScript框架React发布安全通告，披露其Server Components功能中存在一个严重的远程代码执行漏洞，建议所有开发者尽快采取措施完成修复。

该漏洞由Lachlan Davidson于11月29日报告，问题源于React对发送至Server Function端点的数据载荷解码机制存在缺陷，攻击者可利用此缺陷在未认证的情况下实现远程代码执行。官方强调，即便应用本身未主动实现Server Function端点，只要支持React Server Components，即可能受到该漏洞影响。

该漏洞编号为CVE-2025-55182，CVSS评分为最高的10.0分，属于严重级别。React Server Functions的设计允许客户端发起请求调用服务器端函数，框架会将这些请求转化为HTTP通信，并在服务端还原为函数调用，最终将结果返回客户端。但由于反序列化过程中缺乏有效校验，恶意攻击者可通过构造特殊HTTP请求，诱导服务器执行任意代码。

受影响的版本范围包括React 19.0、19.1.0、19.1.1以及19.2.0。官方已在19.0.1、19.1.2和19.2.1版本中完成修复，建议所有使用者立即升级至对应安全版本。

若项目中的React代码未部署在服务器环境运行，或所使用的开发工具链不支持React Server Components，则不受此问题影响。但需注意，部分主流框架及构建工具因依赖关系或内置集成，可能间接引入存在风险的React版本。目前确认受影响的包括next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc以及rwsdk等工具或插件，相关开发者应检查依赖树并及时更新。