React Server Components의 심각한 RCE 취약점으로 Next.js 및 기타 프레임워크가 노출

在反应服务器部件中已查明了关键的远程代码执行脆弱性,对Lext.js等主要网络框架构成直接威胁。 这种缺陷的根源在于对React飞行协议进行不安全的破坏,使未经认证的攻击者能够在服务器上执行任意代码。 这对于使用受影响反应结构的任何应用来说,都是一种严重的违反安全矢量。 脆弱程度是在该项目中发现的,并在多个咨询意见下正式跟踪:GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVe-2025-66478。 作为回应,Vercel已启动自动补丁工作,提出拉动请求,将脆弱反应和下js软件包升级为安全版本。 然而,该公司明确告诫说,这些自动化修正可能并不全面,可能会有错误,敦促开发商在合并改动之前进行彻底审查。 披露立即给整个生态系统的发展团队造成压力,要求其审计和更新依赖关系。 缺陷机制——利用服务器一侧的消空过程——影响应用的手段可能在没有任何用户认证的情况下受到损害,从而大大扩大了潜在的攻击表面。 虽然有补丁,但依靠自动化工具和人工核查的需要给未能迅速采取行动的组织带来了一个关键的风险窗口。