就在修复了一个高危的远程代码执行漏洞不到一周,安全研究人员又发现了三个与React服务器组件(RSC)相关的新漏洞。
研究人员在尝试绕过之前那个“React2Shell”漏洞的修复方案时,顺藤摸瓜地找出了这几个新的安全问题。虽然“React2Shell”的补丁依然有效,但新漏洞可能导致服务器拒绝服务(DoS)攻击,甚至在特定条件下暴露服务器端源代码。
React团队特别指出,此前发布的版本(19.0.2、19.1.3和19.2.2)修复并不彻底,敦促开发者必须立即再次升级。
其中,最严重的一个高危漏洞会直接导致服务器瘫痪。攻击者通过向服务器组件接口发送一个精心构造的恶意HTTP请求,就可能使React的服务器组件在解析数据时陷入无限循环。这将导致服务器进程卡死,CPU资源被耗尽,从而使整个应用服务不可用。
另一个被评估为中危的漏洞,则允许攻击者通过特定HTTP请求,窥探到服务器端函数组件的源代码。虽然环境变量等运行时机密信息依然安全,但函数内部硬编码的密钥或业务逻辑可能会因此泄露,为后续攻击提供便利。
具体漏洞编号与级别如下:
| CVE编号 |
漏洞类型 |
严重级别 |
CVSS评分 |
| CVE-2025-55184 |
拒绝服务 |
高危 |
7.5 |
| CVE-2025-67779 |
拒绝服务(绕过补丁) |
高危 |
7.5 |
| CVE-2025-55183 |
源代码泄露 |
中危 |
5.3 |
影响范围
这些漏洞主要影响react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack这几个与React服务器组件渲染相关的核心包。这意味着,如果你正在使用基于React服务器组件的Next.js、Waku或React Router等现代前端框架,那么你的应用很可能受到波及。
本周早些时候发布的补丁未能完全修复问题。如果你当前仍在使用19.0.2、19.1.3或19.2.2版本,那么你的系统依然暴露在DoS攻击(对应漏洞CVE-2025-67779)的风险之下。
修复方案
开发者应立刻将项目升级至以下安全版本:
- 19.0.x 分支 → 升级到 19.0.3
- 19.1.x 分支 → 升级到 19.1.4
- 19.2.x 分支 → 升级到 19.2.3
React团队在公告中提到,此类重量级漏洞的修复常常会引出更多相关问题,就像当年的“Log4Shell”事件一样,安全社区往往会对其进行更深入的挖掘。本次新发现的漏洞由研究人员 Andrew MacPherson、RyotaK 和 Shinsaku Nomura 报告,再次凸显了持续关注和修复应用安全的重要性。 | 
发表于 3 天前
|
查看: 26|
回复: 0
