12月初,关于CVE-2025-55182与CVE-2025-66478的一系列标有“CVSS 10分”、“核弹级”等耸动标题的文章在安全圈内流传,引发广泛关注。经过Goby安全团队的实际测试与分析,发现相关风险被严重夸大,实际威胁远未达到所谓“核弹级”的程度。本文将从技术原理、网传PoC、真实风险场景等维度进行客观剖析。
网传“近100%利用率的云环境漏洞”属实吗?
首先需要澄清的是,网络上关于“漏洞利用率接近100%,估计约39%的云环境存在漏洞”的说法并不准确。该漏洞与 react-server-dom-webpack 组件的 Server Actions 功能有关。其技术原理在于,该组件在处理客户端提交的表单数据时,缺乏必要的安全验证。理论上,攻击者可能通过构造恶意请求,尝试调用 Node.js 内置模块,从而潜在地实现命令执行或文件操作。
当使用 Next.js 15.x 或 16.x 版本并启用 App Router 模式时,由于依赖了存在缺陷的 React 服务端组件包,因此也被纳入潜在影响范围。
Goby安全团队的评估认为:该漏洞确实存在危害,但将其比作“前端界的log4j”是言过其实的。
漏洞的触发依赖于两个必须同时满足的严格前提:
- 项目中使用了存在缺陷的
react-server-dom-webpack 等组件的 Server Actions 功能。
- 存在开发不当,使得“客户端请求参数经过组件处理后的返回值被直接回显给客户端”的操作。
在实际开发场景中,RSC(React Server Components)组件主要用于服务端渲染,其返回值回显通常是针对开发者可控的可靠数据源。直接将不可信的用户输入或接口参数作为回显内容,是一种非常罕见且不安全的做法。因此,在公网环境中,真正暴露并可被此漏洞利用的目标极其有限。
为何网传PoC本地复现成功率“100%”?
目前广泛传播的PoC(例如 GitHub 上的 ejpir/CVE-2025-55182-poc),其“100%成功率”建立在精心构造的本地测试环境之上。该环境本质上模拟了“攻击者即受害者”的理想场景,严格按照漏洞触发条件搭建了存在缺陷的服务端和回显点。因此,在本地一键复现成功,并不意味着在公网能轻易找到具备同样脆弱性的真实目标。许多安全研究者若以此PoC中的路径在互联网上盲目扫描,很可能一无所获。
那么,它的真实危害是什么?
该漏洞的危害性更多体现为一种“模式风险”。它揭示了一种在基于RSC的服务端渲染框架或产品开发中可能引入的安全缺陷模式。由于 React 生态庞大,衍生的服务端框架质量不一,不排除有某些框架在对原生组件进行二次封装或修改时,因处理不当而引入类似的实体漏洞。因此,其风险更多在于提示开发者注意此类开发模式的安全性,而非组件本身具有广泛、直接的远程代码执行威胁。
风险处置与修复建议
此漏洞影响以下软件包的特定版本(19.0.0, 19.1.0, 19.1.1, 19.2.0):
react-server-dom-parcelreact-server-dom-webpackreact-server-dom-turbopack
这些受影响的包被包含在以下框架和工具中:
- Next.js 版本 ≥14.3.0-canary.77、≥15 和 ≥16
- 其他依赖或集成 React Server Components 的框架与插件(如 Vite, Parcel, React Router 等)
官方已发布安全补丁,建议所有受影响的项目立即升级相关依赖至修复版本。
官方公告与补丁详情:React 官方安全博客
总结
Goby安全团队将持续关注此漏洞及相关衍生风险的进展。建议开发团队进行自查:若项目中使用了相关组件的 Server Actions 功能,应检查是否存在“将处理后的用户参数直接回显”的不安全代码模式,并及时优化。同时,密切关注 React 及 Next.js 等框架的官方安全公告,尽快将依赖升级至已修复的版本,从根源上规避风险。 | 
发表于 昨天 14:17
|
查看: 8|
回复: 0
