GA黄金甲

GA黄金甲·(中国集团)官方网站

中文

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

登录

GA黄金甲·(中国集团)官方网站

产品

< 返回主菜单

产品

解决规划

< 返回主菜单

解决规划中心

行业

服务支持

合作同伴

关于GA黄金甲

投资者关系

返回主菜单

选择区域/说话

GA黄金甲·(中国集团)官方网站

首页
技术博文
防火墙
GA黄金甲安全关于极危React Server Components远程代码执行缝隙的解读

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲安全关于极危React Server Components远程代码执行缝隙的解读

近期，React 团队披露了React Server Components组件中的一个远程代码执行缝隙（CVE-2025-55182）。React 服务器组件（RSC）是一项主题职能，它允许开发者在服务器端直接渲染组件，并将了局发送至客户端，从而提升机能与用户履历。目前，该技术已被Next.js、Shopify Hydrogen、Gatsby 5等主流框架宽泛选取，在电商平台、SaaS服务以及内容站点等多个领域拥有普遍利用。在FOFA资产测绘平台的监测数据中，GA黄金甲安全发现基于Next.js的利用资产数量已达766万，这意味着超过200万台服务器可能面对安全风险。尤为严格的是，有关缝隙的利用成功率极高，靠近100%，攻击者可能不变实现齐全的远程代码执行，对系统安全组成严沉威胁。

#防火墙

颁布功夫：2026-01-05
点击量：
点赞：

分享至

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

我想评论

近期，React 团队披露了React Server Components组件中的一个远程代码执行缝隙（CVE-2025-55182）。React 服务器组件（RSC）是一项主题职能，它允许开发者在服务器端直接渲染组件，并将了局发送至客户端，从而提升机能与用户履历。目前，该技术已被Next.js、Shopify Hydrogen、Gatsby 5等主流框架宽泛选取，在电商平台、SaaS服务以及内容站点等多个领域拥有普遍利用。

在FOFA资产测绘平台的监测数据中，GA黄金甲安全发现基于Next.js的利用资产数量已达766万，这意味着超过200万台服务器可能面对安全风险。尤为严格的是，有关缝隙的利用成功率极高，靠近100%，攻击者可能不变实现齐全的远程代码执行，对系统安全组成严沉威胁。

GA黄金甲·(中国集团)官方网站

1.缝隙概述

缝隙编号：CVE-2025-55182

缝隙类型：远程代码执行(RCE)

缝隙等级：高危

影响领域：React Server Components 有关框架和库，例如Next.js等。

发现功夫：2025年12月3日

CVSS评分：10（评分领域1-10，该缝隙评分最高）

POC状态：已公开

1.1 缝隙影响版版本

软件包	受影响版技巧域
Next.js	15.0.0 -15.0.4
	15.1.0 -15.1.8
	15.2.0 -15.2.5
	15.3.0 -15.3.5
	15.4.0 -15.4.7
	16.0.0 -16.0.6
React RSC	19.0.0
React RSC	19.1.0 -19.1.1

1.2 缝隙复现

发送公开的HTTP恶意要求Payload能够看到服务器成功执行我们要求执行whoami号令，服务器成功执行whoami并在响应中返回whoami号令执行的了局。

GA黄金甲·(中国集团)官方网站

2.缝隙道理分析

GA黄金甲·(中国集团)官方网站

Flight和谈：

React 19引入的客户端-服务端通讯和谈

使用特殊的序列化体式传输React组件树

支持引用系统：$@N (chunk引用), $B N (Blob引用), $F N (函数引用)

服务端反序列化后执行Server Actions/Components

CVE-2025-55182缝隙是源于服务端在反序列化 Server Action 要求时未校验�？榈汲鍪粜缘暮戏ㄐ�，攻击者可通过操控要求负载接见原型链上的危险步骤（如 vm.runInThisContext），进而执行肆意系统号令，只有利用依赖中蕴含 vm、child_process 或 fs 等常见 Node.js �？榧纯杀焕�，攻击者可通过机关恶意RSC要求在服务器端实现肆意代码执行。

3.建复规划

3.1 官方建复规划

建复解决规划（含缝隙补�。�

官方已颁布安全补丁，请实时更新至最新版本：React Server 19.0.1、React Server 19.1.2、React Server 19.2.1

下载地址：https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

或者通过号令升级到安全版本，npm install react@19.0.1 react-dom@19.0.1 next@15.0.5

3.2 GA黄金甲防火墙防护规划

GA黄金甲网络防火墙在网络天堑精准过滤携带CVE-2025-55182缝隙攻击特点的恶意流量，通过通用型缝隙+具体缝隙的检测理想，实现对未知+已知缝隙的精准拦截和阻断，WEB利用安全通过深度解析HTTP要求报文，精准鉴别如挪用child_process.execSync的高危参数及恶意机关内容，筑牢Web层纵深防御樊篱。

GA黄金甲·(中国集团)官方网站

1.升级防火墙的IPS规定库版本到v20251208.1421版本

验证规定13240144、13240145、13240146是否在规定库。在系统--特点库升级�？榭糇远逗�，特点库将会自动联网更新，自动更新特点库的设备不受该缝隙影响。

2.未联网设备能够通过登录GA黄金甲安全云官网https://secloud1.ruijie.com.cn/login，下载最新的IPS规定库

保障版本在v20251208.1421以上，离线升级规定库。

基于以上分析，针对React CVE-2025-55182这一CVSS满分高危缝隙，GA黄金甲防火墙的主题防护优势可概括为“快、全、简”三大特点：

响应迅快：缝隙披露后24幼时内即实现攻击特点提取与防护规定同步，援手用户在第一功夫启动有效防御；

覆盖全面：提供针对性防护规定，即开即用，无需复杂配置；

部署轻便：即便暂未实现系统补丁升级，用户也可通过一键启用规定，急剧构建安全缓冲地带。

有关标签：

#防火墙

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

点赞

<< 当 CSI 唤醒 Wi-Fi “第六赣妆，世界将若何扭转？

暂无下一笔纪录 >>

客户评论

no-data

暂无评论

我要评论

您的姓名

您的手机号*

您的邮箱

公司名称

您的评论*

我已仔细阅读并赞成隐衷申明

验证码*

verificationcode?key=techMessage

提交评论

更多技术博文

任何必要，请联系GA黄金甲

与售前照拂交谈

填写项目需要表单

售前征询
售后服务
定见反馈

GA黄金甲·(中国集团)官方网站

返回顶部

收起

文档AI副手

文档评价

该资料是否解决了您的问题？

您对当前页面的中意度若何？

不咋滴

极度好

您中意的原因是（多�。�？

您不中意的原因是（多�。�？

您是否还有其他问题或建议？

为了急剧解决并回复您的问题，您能够留下联系方式

邮箱

手机号

我已赞成并阅读隐衷政策

ev-bg

感激您的反�。�

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

请选择服务项目

售前征询

售后服务

定见反馈

更多联系方式

【网站地图】