严重React RSC漏洞（CVE-2025-55182）：远程代码执行风险

简介

React基金会就React服务器组件(RSC)中的一个关键漏洞发布了紧急安全警报，该漏洞被指定为CVE-2025-55182，CVSS最高评分为10。这一由研究员Lachlan Davidson发现并命名为“React2Shell”的缺陷，允许远程攻击者通过特制的HTTP请求在受影响服务器上执行任意命令。该漏洞影响多个React包，并促使全球开发者和云提供商立即采取行动。

技术细节与影响

该漏洞源于React服务器组件处理传入请求时的逻辑反序列化错误。当未经身份验证的攻击者向任何服务器函数端点发送恶意HTTP负载时，React的反序列化阶段可能被操纵，在后端服务器上执行任意JavaScript代码。安全公司Wiz强调，该漏洞在所有配置中都有效，仅需单个HTTP请求即可触发远程代码执行。

受影响的包包括react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的版本19.0、19.1.0、19.1.1和19.2.0。影响范围超出了React本身，涵盖了任何基于RSC技术构建的库，包括Vite RSC、Parcel RSC、React Router RSC预览版、RedwoodJS和Waku框架。这种广泛影响使得该漏洞对现代网络应用尤为危险。

Endor Labs警告称，默认框架配置可立即被利用，凸显了开发者实施保护措施的紧迫性。在考虑安全解决方案时，开发者可以探索各种防火墙软件选项，为其应用添加额外保护层。

缓解与响应

React基金会已为三个受影响组件发布了修补版本（19.0.1、19.1.2和19.2.1），开发者应立即升级。在部署补丁之前，强烈建议应用特定的Web应用防火墙(WAF)规则作为临时缓解策略。

主要云提供商已迅速响应威胁。Cloudflare于12月3日宣布更新其WAF以保护客户，而Google Cloud Armor、Amazon Web Services (AWS)和其他安全提供商也发布了类似的临时防火墙规则。这些提供商强调，虽然这些防御措施有所帮助，但更新易受攻击的React包仍然是根本解决方案。

对于处理敏感数据的组织，在安全补丁之外实施强大的加密工具，可为此类漏洞可能导致的数据泄露提供额外保护。

优缺点

优点

• React基金会响应迅速，立即提供补丁
• 主要云提供商迅速实施了保护性WAF规则
• 清晰的漏洞细节帮助开发者理解风险
• 安全社区在识别和报告问题方面合作
• 全面的受影响版本列表支持针对性更新

缺点

• 最高严重性CVSS 10评分表明极端危险
• 默认配置可立即被攻击者利用
• 需要众多应用开发者立即采取行动
• 补丁应用前可能产生广泛影响

结论

CVE-2025-55182漏洞对使用React服务器组件的应用构成关键威胁，其最高CVSS评分反映了潜在的严重影响。开发者必须优先立即更新至修补后的React版本（19.0.1、19.1.2或19.2.1）。虽然云提供商的临时WAF规则提供了一定保护，但它们不应取代适当的补丁。此事件强调了维护依赖项更新和实施全面安全措施的重要性，包括定期漏洞评估和开发团队适当的安全浏览器配置。安全社区的快速响应展示了有效的漏洞管理，但该漏洞的广泛性要求所有基于React的应用维护者给予紧急关注。