React Server Components의 심각한 RCE 취약점, Next.js 및 기타 프레임워크 노출

在反应服务器部件中已查明了关键的远程代码执行脆弱性,对Lext.js等主要网络框架构成直接威胁。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这不是理论上的风险;脆弱性是在一个名为`baglamukhi-mandir ' 的现场项目中发现的,表明其可立即加以利用。 安全问题在多个咨询意见下正式跟踪:GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE2025-66478。 Vercel已启动自动补丁工作,提出拉动请求,升级受影响的反应和下js软件包,以保障版本的安全。 但是,该公司明确警告说,不能保证其自动修复办法的全面性,可能存在错误,因此开发商有责任在合并改动之前进行彻底审查。 这种脆弱性使数千个与反应服务器部件一起建造的生产应用程序面临严重妥协风险。 公开披露和协调咨询意见表明,发展团队面临巨大压力,要求立即审计和修补其系统。 依靠自动化工具进行补救,虽然对规模而言是必要的,但如果补丁未经仔细验证,则会产生第二层风险。 基本网络技术库的安全现在受到紧急审查。