【处置手册】React/Next.js远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)

阅读: 13

通告编号:NS-2025-0053-1

TAG: React、Next.js、远程代码执行、CVE-2025-55182、CVE-2025-66478
漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。
版本: 1.1

1 漏洞概述

近日,绿盟科技CERT监测到React与Next.js发布安全公告,修复了React/Next.js远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478);由于React Server Components在处理HTTP请求时存在不安全地反序列化,未经身份验证的攻击者可通过构造特制表单调用Node.js内置模块,从而在目标服务器上执行任意代码 ,由于Next.js使用的App Router内嵌了React的DOM包,因此也受该漏洞影响。CVSS评分10.0,目前漏洞细节与PoC/EXP已公开,且存在大规模在野利用,请相关用户尽快采取措施进行防护。

React是Facebook推出的开源JavaScript库,采用声明式编程范式,让开发者能够高效地创建可交互的Web应用界面。

Next.js是Node.js生态中基于React的开源Web框架,其通过Server Actions功能提供了后端开发能力。

绿盟科技已成功复现此漏洞:

参考链接

https://nextjs.org/blog/CVE-2025-66478

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

 

2 影响范围

受影响版本

  • React Server = 19.1.0
  • React Server = 19.1.1
  • React Server = 19.2.0
  • 14.3.0-canary.77 <= Next.js <= 15.0.4
  • 15.1.0 <= Next.js <= 15.1.8
  • 15.2.0 <= Next.js <= 15.5.6
  • 16.0.0 <= Next.js <= 16.0.6
  • Dify <= 1.10.1
  • NextChat

注:react-router, waku, @parcel/rsc, @vitejs/plugin-rsc、rwsdk和RedwoodJS (RSC模式)等依赖React的框架/工具可能也受影响。

不受影响版本

  • React Server = 19.0.1
  • React Server = 19.1.2
  • React Server = 19.2.1
  • Next.js = 13.x
  • Next.js <= 14.3.0-canary.76
  • Next.js >= 15.0.5
  • Next.js >= 15.1.9
  • Next.js >= 15.2.6
  • Next.js >= 15.3.6
  • Next.js >= 15.4.8
  • Next.js >= 15.5.7s
  • Next.js >= 15.6.0-canary.58
  • Next.js >= 16.0.7
  • Dify >= 1.10.1-fix.1

注:仅使用Client Components (Pages Router) 和Edge Runtime的Next.js应用不受影响。

3 漏洞排查

3.1 人工检测

相关用户可通过排查项目是否使用了React Server Component(RSC):

1、判断应用是否使用next, Dify,react-router, waku, @parcel/rsc, @vitejs/plugin-rsc和rwsdk等框架组件

2、检查代码中是否使用了use server/use client

若确定使用了React Server Component(RSC),可执行以下命令查看版本是否在受影响范围:

npm list react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel

3.2  工具检测

绿盟科技自动化渗透测试工具(EZ)已支持Next.js与Dify等框架的服务识别和CVE-2025-55182/CVE-2025-66478漏洞风险检测,可直接使用web模块进行扫描。(注:企业版请联系绿盟销售人员获取)

工具下载链接:https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:

注:社区版本将于近日发布上述功能

3.3  产品检测

绿盟科技远程安全评估系统(RSAS)、WEB应用漏洞扫描系统(WVSS)与网络入侵检测系统(IDS)已具备上述漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

 升级包版本号 升级包下载链接
RSAS V6系统插件包 V6.0R02F01.4307 https://update.nsfocus.com/update/listRsasDetail/v/vulsys
RSAS V6 Web插件包 V6.0R02F00.3807 https://update.nsfocus.com/update/listRsasDetail/v/vulweb
WVSS V6插件升级包 V6.0R03F00.389 https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
IDS 5.6.11.43026 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10
5.6.10.43026 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11
2.0.0.43026 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

4 暴露面风险排查

4.1 云端检测

绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-55182/CVE-2025-66478漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。

感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。

4.2 本地排查

绿盟科技CTEM解决方案可以主动+被动方式进行React相关资产和CVE-2025-55182/CVE-2025-66478漏洞风险的发现和排查:

用户使用外部攻击面发现功能将CVE-2025-55182/CVE-2025-66478漏洞线索同步至云端,通过资产测绘的方式获取目标单位的受影响资产。

通过指纹识别或PoC扫描进行测绘:

支持调用各类漏洞扫描设备:

 
5 漏洞防护

5.1 官方升级

目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级版本进行防护,下载链接:

React:https://github.com/facebook/react/releases

Next.js:https://github.com/vercel/next.js/tags

Dify:https://github.com/langgenius/dify/releases

5.2 产品防护

针对上述漏洞,绿盟WEB应用防护系统(WAF)、绿盟科技网络入侵防护系统(IPS)、绿盟综合威胁探针(UTS)、绿盟安全管理平台(ESP-H)与绿盟智能安全运营平台(ISOP)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护能力。

安全防护产品 升级包版本号 升级包下载链接 规则编号
WAF 6.0.8.1.72517 https://update.nsfocus.com/update/listWafV68Detail/v/rule [27007078]
6.0.7.3.72517 https://update.nsfocus.com/update/listWafV67Detail/v/rule6070
6.0.7.0.72517 https://update.nsfocus.com/update/listWafSpecialDetail/v/all
IPS 5.6.11.43026 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11 [29515]
5.6.10.43026 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10
2.0.0.43026 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2
UTS 5.6.10.43026 https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0 [29515]
2.0.0.43026 https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1
ESP-H 1.0.0.1.2092890 https://update.nsfocus.com/update/listesphDetail/v/V3.0R01F00NG [491417]
ISOP 1.0.0.1.2092890 https://update.nsfocus.com/update/listisopdetail/v/V3.0R01F00NG [491417]

产品规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg

5.3 临时防护措施

若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:

1、在不影响业务的前提下,修改配置禁用React Server Components功能;

2、对Server Function端点进行访问限制。

3、使用安全设备添加自定义规则进行检测与拦截。

 

END

声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author