反应式服务器部件下期曝光中RCE关键脆弱性js和其他框架

在反应服务器部件中已查明一个关键的远程代码执行弱点,直接影响到Lext.js等主要框架。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这严重妨碍任何使用受影响技术堆的应用程序的安全,可能使攻击者完全控制基础服务器环境。 脆弱性是在“cslandingpage”项目中发现的,目前正在多个咨询意见下跟踪这一弱点,包括GitHub安全咨询公司 GHSA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE/2025-66478。 Vercel已发出自动拉动请求,以协助补丁工作,尽管它明确警告说修补办法可能不全面,可能有错误,敦促开发商在合并改动之前审查其指导意见。 披露立即对世界各地的发展小组施加压力,要求其审计和更新申请。 广泛采用反应服务器部件和下js意味着潜在的攻击表面相当重要。 虽然自动化补丁是一个起点,但咨询处的提醒说明强调了不完全修正的风险,需要人工审查并可能进行更深层次的建筑改变,以充分减轻服务器方妥协的威胁。