Lỗ hổng RCE nghiêm trọng trong React Server Components khiến Next.js và các Framework khác bị lộ

在反应服务器部件中已经查明了关键的远程代码执行脆弱性,直接威胁到Lext.js等主要框架。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这不是理论上的风险;脆弱性是在一个现场项目中积极查明的,强调其可立即利用性和迫切需要补救。 GitHub安全咨询公司(GISA-9qr9-h5gf-34mp,React's CVE-2025-55182和Lext.js的CVE 2025-66478)正式跟踪了安全问题。 作为回应,Vercel公司启动了自动补丁工作,提出拉动请求,将受影响的反应软件包和Next.js软件包升级到安全版本。 然而,该公司明确警告说,不能保证这一自动修复办法的全面性并可能包含错误,要求开发商在合并之前进行彻底审查。 在诸如反应服务器元件等核心网络技术中发现这种脆弱性,标志着对整个现代网络发展生态系统的巨大压力。 依靠 " 下一步js " 和类似的基于反应的框架来制作服务器的组织必须迅速采取行动,以应用补丁。 如果做不到这一点,就有可能使应用程序的后端暴露为未经认证的RCE攻击,这可能导致服务器完全折中、数据中断和服务中断。 GitHub、React和Next.js的协调咨询意见强调了这一安全漏洞的严重性和广泛影响。