React Server Components 远程代码执行漏洞风险通告(CVE-2025-55182)
摘要
2025年12月4日,阿里云安全监测到,Meta的React核心团队与Vercel的Next.js团队联合发布公告,披露了两个最高危险等级(Critical)的安全漏洞:CVE-2025-55182(React)和CVE-2025-66478 (Next.js),在一定条件下,攻击者可利用漏洞执行任意代码。同时,阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 React Server Components(RSC)
正文
2025年12月4日,阿里云安全监测到,Meta的React核心团队与Vercel的Next.js团队联合发布公告,披露了两个最高危险等级(Critical)的安全漏洞:CVE-2025-55182(React)和CVE-2025-66478 (Next.js),在一定条件下,攻击者可利用漏洞执行任意代码。同时,阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 React Server Components(RSC)是React 19新引入的一种组件类型,广泛用于Next.js等框架中进行渲染服务。在CVE-2025-55182中,由于在解析客户端提交的表单时缺乏校验,攻击者可构造恶意请求调用相关内置模块,最终导致未授权代码执行。同时由于RSC已被 Next.js等主流框架中采用,例如 Next.js 15.x、16.x等版本中引用了受影响的React组件包,因此同样受影响,其对应CVE号为CVE-2025-66478。 影响范围 针对React组件,其受影响版本如下: react-server-dom-parcel 19.0、19.1.0、19.1.1、19.2.0 react-server-dom-turbopack 19.0、19.1.0、19.1.1、19.2.0 react-server-dom-webpack 19.0、19.1.0、19.1.1、19.2.0 针对Next.js,其受影响范围如下: 14.3.0-canary.77 <= Next < 15.0.5 15.1.0 <= Next < 15.1.9 15.2.0 <= Next < 15.2.6 15.3.0 <= Next < 15.3.6 15.4.0 <= Next < 15.4.8 15.5.0 <= Next < 15.5.7 16.0.0 <= Next < 16.0.7 修复建议 排查应用中是否引入了相关受影响的React组件以及相关框架(如Nextjs等),若存在,强烈推荐升级至安全版本。例如针对Next.js 框架用户,根据使用版本执行相关命令升级。 npm install [email protected] # for 15.0.x npm install [email protected] # for 15.1.x npm install [email protected] # for 15.2.x npm install [email protected] # for 15.3.x npm install [email protected] # for 15.4.x npm install [email protected] # for 15.5.x npm install [email protected] # for 16.0.x 若使用Next.js 14.3.0-canary.77等及其之后的canary版本,则建议降低至Nextjs 14稳定版本。 npm install next@14 其它框架使用者可以参考https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components进行相关排查与升级。 安全防护建议 随着React框架高危漏洞影响范围不断扩大,为最大范围守护云上安全,阿里云针对暂未开启任何安全防护措施的用户,限时免费相关安全漏洞检测及利用阻断产品,守护用户平稳度过漏洞高危期。 请在开启相关产品能力前,先领取对应品类免费额度,免费权益使用完毕,如没有后续需求,请及时释放产品实例,避免产生费用。 云安全中心:主机层漏洞扫描、防护与查杀 【免费政策 1】 漏洞检测,云安全中心免费版提供CVE-2025-66478漏洞检测;云安全中心无代理检测能力支持全面的主机、快照和镜像资产的2个漏洞的离线检测能力,不影响线上运行环境,为所有用户提供价值 100 元的 500GB 无代理检测能力的扫描资源包。 【开启流程】 登录-云安全中心控制台,点击【风险治理】、点击【漏洞管理】、点击【应急漏洞】后,选择《Next.js React Server Components 远程代码执行漏洞(CVE-2025-66478)【远程扫描】》,点击【立即检测】,排查资产中是否存在此漏洞威胁。 登录-云安全中心控制台,点击开通【无代理检测】后付费功能开关、点击【主机防护】、点击【无代理检测】,在主机、快照、镜像页面下点击【立即检测】。 【免费政策 2】 入侵检测,针对CVE-2025-66478、CVE-2025-55182 漏洞利用行为的 4 类告警检测能力,在免费版本中提供1个月,开通免费版用户即可使用相关能力。 【开启流程】 登录-云安全中心控制台、点击【检测响应】、点击【安全告警】、关注【蠕虫病毒命令】、【可疑编码命令】、【linux可疑命令执行】、【Web应用创建异常子进程】此 4 类告警,确认是否已存在被此漏洞利用攻击。 【免费政策 3】 病毒查杀,未购买过云安全中心(包年包月/按量付费)产品的阿里云用户。 【开启流程】 登录ECS控制台-实例详情页-安全防护界面,借助ECS专属免费安全护航权益进行安全防护以及病毒查杀。绑定权益后,可对常见的恶意程序进行拦截或查杀。 【注意事项】 需在资产中心菜单确认,主机资产中的云安全中心客户端状态为绿色在线图标。 Web应用防火墙:高风险漏洞检测及拦截 使用Web应用防火墙,实现应用层默认防护此漏洞,阻断被攻击路径。 【免费政策】 针对首次使用该产品的阿里云用户,提供10000 SeCU资源包(价值495元)产品免费试用额度。 【开启流程】 开通Web应用防火墙3.0按量付费版本,在【接入管理】中将需要防护的域名、云产品实例(如ALB等)等资产接入Web应用防火墙进行防护。 【注意事项】 资产接入Web应用防火墙后,将默认开启针对该漏洞的防护和规则自动更新。 如您之前修改过Web应用防火墙的默认配置,请确认Web核心防护规则901017处于开启和拦截状态。 云防火墙:网络层漏洞检测及拦截 使用云防火墙进行网络层针对该漏洞进行拦截防护。 【免费政策】 针对首次使用该产品的阿里云用户,提供500元产品免费试用额度。 【开启流程】 开通云防火墙按量付费2.0版本,在【防火墙开关】中将需要防护资产(如EIP等)接入云防火墙进行防护,建议同步开启“新增资产自动保护”功能。 【注意事项】 资产接入云防火墙后将默认开启针对该漏洞的防护和规则自动更新。 如您之前修改过云防火墙的默认配置,请确认“IPS配置-互联网边界/VPC边界-虚拟补丁”模块中的规则41000485处于开启和拦截状态。 云防火墙暂不支持入向的加密流量检测(如HTTPS),如您需要防护的流量为HTTPS,请接入Web应用防火墙进行防护。 相关参考链接: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components https://nextjs.org/blog/CVE-2025-66478 https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r https://avd.aliyun.com/detail?id=AVD-2025-66478 https://avd.aliyun.com/detail?id=AVD-2025-55182 https://free.aliyun.com/?&product=1366
标签
- hole_notice
- security
扩展字段
{
"bulletin_type": "security",
"bulletin_type_detail": "hole_notice",
"ext_info": {
"delistLink": "",
"offLineLink": "",
"offLineType": "",
"processInstanceId": "9895b891-7a52-4cc2-b843-fd440e6aa120",
"processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=9895b891-7a52-4cc2-b843-fd440e6aa120",
"publishType": "auto",
"refundUrl": "",
"secondaryChangeTypeLabel": "/漏洞通告"
},
"impact_time": "[]",
"impact_time_type": "not-set",
"language": "zh",
"product_code": "",
"product_info": "",
"status": "published"
}