React 遠端執行程式碼漏洞

最後更新 2025年12月12日 發佈日期: 2025年12月04日 12935 觀看次數

風險: 極高度風險

Extremely High Risk

類型: 伺服器 - 其他伺服器

類型: 其他伺服器

於 React 發現一個漏洞,遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行任意程式碼。

 

注意:

CVE-2025-55182 (React2Shell) 正被廣泛利用。Meta React Server Components 存在遠端程式碼執行漏洞,該漏洞允許未經身份驗證的遠端程式碼執行,其原理是利用 React 解碼發送到 React Server Function 端點的有效負載的方式中的一個缺陷。

 

[更新於 2025-12-05]

更新描述及風險等級。CVE-2025-55182 的概念驗證碼已被公開。因此,風險等級由中度風險升為高度風險。

 

[更新於 2025-12-08]

更新描述、風險等級及相關連結。CVE-2025-55182 正被廣泛利用。因此,風險等級由高度風險升為極高度風險。

 

[更新於 2025-12-12]

更新描述。

影響

  • 遠端執行程式碼

受影響之系統或技術

受影響的 React 版本:

  • 以下元件的 19.0、19.1.0、19.1.1 和 19.2.0 版本受此漏洞影響:
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • 受影響的框架和打包工具:一些 React 框架和打包工具依賴、具有對等依賴,或直接包含了存在漏洞的 React 套件。受影響的 React 框架與打包工具包括:next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, 及 rwsdk。

詳情請參閱以下連結:

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

相關標籤

React遠端執行程式碼概念證明廣泛利用React2Shell

分享至

上一頁

Apache Struts 阻斷服務漏洞

2025年12月12日 1440 觀看次數

下一頁

React 多個漏洞

2025年12月12日 2264 觀看次數

我們使用cookie為您提供最佳的網站體驗。繼續瀏覽本網站,即表示您同意使用cookie。有關更多詳細信息,請閱讀我們的Cookie政策。

隱私政策