React Server Components 关键 RCE 漏洞曝光，影响 Next.js 等框架

在 React Server Components 中发现了一个关键的远程代码执行（RCE）漏洞，影响了 Next.js 等框架。该漏洞通过 React Flight 协议中的不安全反序列化，使得攻击者能够在服务器上实现未经身份验证的远程代码执行。此问题已在 GitHub 安全公告（GHSA-9qr9-h5gf-34mp）、React 公告（CVE-2025-55182）和 Next.js 公告（CVE-2025-66478）中被追踪。Vercel 已生成自动拉取请求，将受影响的 React 和 Next.js 包升级到已修复的版本，以完全解决此问题。该漏洞最初在项目 byness 中被识别。