React Server Components의 중요한 RCE 취약점이 Next.js 및 기타 프레임워크를 노출

在反应服务器部件中已查明一个关键的远程代码执行弱点,直接影响到Lext.js等主要框架。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这严重妨碍了使用受影响技术堆的任何应用的安全,有可能使攻击者完全控制脆弱的系统。 脆弱程度在“保留地”项目中被发现,目前正通过多种咨询跟踪这一脆弱性,包括GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE2025-66478。 Vercel已发出自动拉动请求,以协助补丁工作,尽管该请求明确警告说,修补办法可能不全面,可能有错误,敦促开发商在合并修改之前审查其指导意见。 这一缺陷暴露给发展团队带来巨大压力,要求其立即审查和确保应用。 鉴于反应服务器部件和下js被广泛采用,潜在的攻击表面具有重大意义。 这一事件引发了对雷电飞行议定书安全的紧急审查,并突出表明迫切需要在现代网络框架内进行强有力的投入验证和取消飞行保障。