在通过下js框架暴露的对应服务器组成部分中,RCE脆弱性

在反应服务器元件中,已经查明了关键的远程代码执行脆弱性(RCE),这些元件影响框架如Next.js。 这种脆弱性使得服务器上的未经认证的RCE能够通过React Flight协议中不安全地消毒在服务器上进行。 GitHub安全咨询公司GISA-9qr9-h5gf-34mp、React咨询公司CVE-2025-55182和Lext.js咨询公司COVE 2025-66478跟踪了这一问题。 在“talvix”项目中发现了这种脆弱性,使袭击者可以在未经认证的情况下对受影响的服务器执行任意代码。 已提出自动拉动请求,将受影响的反应软件包和Next.js软件包升级为补丁版本,以充分补救问题。 这种脆弱性对生产环境中使用反应服务器部件的应用构成重大安全风险。