React Server Components漏洞分析：DoS与源码泄露风险（CVE-2025-55184/CVE-2025-55183）

在应对完React2Shell这个10级高危漏洞后，开发社区尚未完全喘息，新的安全警报再度拉响。12月12日，React官方证实，研究人员在复查先前补丁时，于React Server Components（RSC）中又发现了两个新的安全问题。

这两个新漏洞分别是：

1. 高危漏洞 CVE-2025-55184：可导致服务器拒绝服务（DoS），攻击者通过单个精心构造的请求即可使服务崩溃。
2. 中危漏洞 CVE-2025-55183：可能导致React Server Components的源代码泄露。

一个漏洞引发的全球震荡：React的“底座”地位

近期引发行业震动的React2Shell漏洞（CVE-2025-55182）获得了CVSS 10.0的满分评级，其破坏力根源在于React作为现代Web开发“默认底座”的核心地位。从Meta旗下的Facebook、Instagram，到Netflix、Airbnb等众多大型平台，其前端架构均深度依赖React及其庞大的生态系统。

该漏洞的影响范围极广，涉及react-server-dom-webpack等核心包的19.0至19.2.0版本，并波及了多个基于React的前端框架和打包器的默认配置，例如Next.js、React Router、Vite RSC等。对于许多使用App Router的Next.js应用而言，RSC功能甚至是默认开启的。

安全厂商Wiz的观测数据显示，高达39%的云环境中存在受该漏洞影响的Next.js或React实例，估计有超过两百万台服务器曾暴露于此风险之下。更严峻的是，漏洞的利用成功率极高，可稳定实现完整的远程代码执行（RCE）。

真实世界的影响：服务器被劫持与僵尸网络攻击

漏洞公开后，多位开发者在社交平台上分享了遭遇攻击的经历。开发者Eduardo发现自己的服务器CPU利用率异常飙升至361%，调查日志后发现服务器已被入侵，并被植入加密货币挖矿程序。攻击并非通过传统的SSH暴力破解，而是直接利用了Next.js容器内的漏洞。

攻击者获得执行权限后，会部署更为隐蔽的恶意软件，甚至将进程伪装成nginxs、apaches等常见的Web服务进程以规避检测。Eduardo特别警告，如果在Node.js环境中仍以ROOT权限运行未更新版本的Docker容器，系统将极易被完全控制。

非营利安全组织ShadowServer Foundation报告称，自漏洞披露以来，源自被劫持的Next.js资产的恶意流量暴增了10倍，这表明有僵尸网络正在大规模自动化地尝试利用该漏洞。

漏洞技术原理：缺失的“一行”安全检查

安全研究员Lachlan Davidson最早详细披露了该漏洞的技术细节。他将问题归结为 “一处关键安全检查的缺失与极具创造性的利用机制相结合”。

漏洞根植于React Server Components的核心通信机制——Flight协议。该协议为了实现服务器组件的流式渲染，需要处理包括Promise在内的复杂数据结构序列化与反序列化。攻击者可以伪造一个特殊的HTTP请求，向React Server Function端点发送伪装成合法Flight协议数据的恶意载荷。

由于在反序列化过程中，React缺少对内部对象属性的基础校验（例如一个关键的hasOwnProperty检查），导致攻击者构造的恶意数据被错误地解释为可执行的代码路径，最终在服务器端触发了远程代码执行。整个攻击过程无需任何身份认证或凭证，直接绕过了常规的安全边界。

Meta在收到报告后，与React团队协作在四天内推出了紧急修复。从代码层面看，补丁的核心正是补上了那行缺失的属性校验代码，从而切断了这条高危攻击链。

平台级连锁反应：Vercel、Cloudflare的应急与争议

此类高级别漏洞的影响往往会穿透单个应用，波及整个技术供应链。作为Next.js的创建者和主要维护方，Vercel首当其冲。Cloudflare、AWS等厂商也迅速在Web应用防火墙（WAF）层面部署了临时规则以拦截已知攻击模式。

然而，安全社区围绕“是否应依赖WAF作为主要防护手段”产生了激烈争论。安全公司Assetnote的联合创始人Shubham Shah指出，WAF规则可以被绕过，根本解决之道仍然是升级应用本身。他透露，其团队已成功绕过了Cloudflare和Vercel部署的防护规则。

这一争论一度升级，Shubham Shah称Vercel CEO曾对其施压要求删除相关推文。但随后事态出现转折，Vercel CEO就此道歉，双方转向协作。Shubham Shah后续表示，其团队通过漏洞赏金计划向Vercel提交了多个有效的WAF绕过方案，并称赞Vercel团队能够在数分钟内响应报告，并在半小时内部署修复，展现出了高效的合作与运维能力。

据播客节目《编程播客》透露，为了应对React2Shell危机，Vercel在一个周末内启动了紧急响应，与React团队、HackerOne社区及白帽研究员紧密合作，共处理了17至19条安全报告与修复建议，并为此支付了总计约75万美元的漏洞赏金，以激励社区共同修补漏洞。

与此同时，Cloudflare在仓促部署针对React2Shell的防护变更时，意外导致了自身服务的中断，一度影响了约28%的HTTP流量。Cloudflare CTO事后澄清，此次中断并非源于外部攻击，而是内部应急措施引入的问题。

英国国家医疗服务体系（NHS）网络安全中心也发布警告，指出针对CVE-2025-55182的功能性漏洞利用代码已出现，在实际环境中成功利用此漏洞的可能性非常高，敦促所有相关组织立即采取行动。

对于新披露的CVE-2025-55184和CVE-2025-55183，React团队已发布安全更新。所有使用React Server Components的开发者应尽快将相关包升级至最新版本，以消除安全隐患。