反应式服务器组成部分下期曝光中RCE脆弱性

在反应服务器部件中已查明一个关键的远程代码执行弱点,直接影响到Lext.js等主要框架。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 在“on-website”项目中特别标出这种暴露,突出说明了潜在开采的直接途径。 脆弱程度在多个咨询意见下正式跟踪:GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE2025-66478。 Vercel提出自动拉动请求, 将受影响反应软件包和Next.js软件包升级为补丁版本, 但是,修复办法的自动化性质伴随着警告; Vercel明确指出它不能保证全面性并可能包含错误,敦促开发商在合并之前审查补充指导意见。 这种安全缺陷使以这些流行的基于反应的框架为基础的数千个网络应用程序面临直接风险。 公开披露具体的脆弱经济体和紧急的自动补丁工作表明威胁的严重性。 开发者和各组织必须迅速采取行动,使用所提供的补丁,因为无源服务器仍然容易被远程接收。 这一事件突出表明了现代网络发展堆叠中持续存在的安全挑战,以及积极主动地管理脆弱性的极端重要性。