Next.js 프레임워크를 통해 노출된 React 서버 컴포넌트의 심각한 RCE 취약점

在反应服务器元件中,已经查明了关键的远程代码执行脆弱性(RCE),这些元件影响框架如Next.js。 这种脆弱性使得服务器上的未经认证的RCE能够通过React Flight协议中不安全地消毒在服务器上进行。 GitHub安全咨询公司GISA-9qr9-h5gf-34mp、React咨询公司CVE-2025-55182和Lext.js咨询公司COVE 2025-66478跟踪了这一问题。 脆弱性在“控制器”项目中被确定,通过对序列数据进行不安全的处理而使服务器得以妥协。 已提出自动拉动请求,将受影响的反应软件包和Next.js软件包升级为补丁版本,以充分补救问题。 缺陷的严重性突出表明,在广泛使用的网络开发框架中存在重大安全风险,如果加以利用,可能导致服务器被完全接管。