Critical RCE Vulnerability in React Server Components Exposes Next.js und andere Frameworks

在反应服务器部件中,已查明一个关键的远程代码执行弱点,直接威胁到Lext.js等主要框架的服务器安全。 这种缺陷的根源在于React飞行协议中不安全的消毒,使未经认证的袭击者能够在受影响的服务器上执行任意代码。 这不是理论上的风险;脆弱性是在一个现场项目中积极查明的,强调其直接开发潜力。 安全问题在多个咨询意见下正式跟踪:GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE2025-66478。 作为回应,Vercel公司启动了自动补丁工作,提出拉动请求,以提升脆弱反应和下一个。 然而,该公司明确警告说,不能保证其自动修复办法是全面的或无误的,因此开发商有责任在部署之前进行彻底审查。 发现后,对任何依靠网络应用核心现代结构 " React Services " (反应服务器组件)的组织进行紧急审查。 虽然有补丁,但补救途径需要人工验证,从而形成一个风险窗口。 脆弱性机制——利用消毒-亮点是数据交换协议中持续存在的一类安全缺陷,使服务器基础设施和应用数据处于潜在风险之中,直至充分、正确地运用缓解措施。