反应式服务器部件下期曝光中RCE关键脆弱性js和其他框架

在反应服务器部件中,已查明一个关键的远程代码执行弱点,直接威胁到Lext.js等主要框架的服务器安全。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者能够在受影响的服务器上执行任意代码。 这不是理论上的风险;脆弱性是在一个现场项目中发现的,强调其可立即利用性。 GitHub安全咨询公司(GISA-9qr9-h5gf-34mp,React's CVE-2025-55182和Lext.js的CVE 2025-66478)正式跟踪了这一问题。 作为回应,Vercel启动了自动补丁工作,提出拉动请求,以提升脆弱反应和下一个。 js依赖性,以确保版本的安全。 然而,该公司明确警告说,这些自动修正办法可能并不全面,而且可能有错误,因此开发商有责任在部署前进行彻底审查。 发现后,对使用反应服务器部件的任何组织,特别是在下js生态系统内,都会进行紧急检查。 虽然有补丁,但补救途径需要人工核查,从而产生风险。 开发商和安全小组必须优先审查其依赖性,并采用正式更新资料,以减少服务器妥协的可能性。