【复现+支持检测】React/Next.js远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)

阅读: 6

通告编号:NS-2025-0053

TAG: React、Next.js、远程代码执行、CVE-2025-55182、CVE-2025-66478
漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。
版本: 1.0

1 漏洞概述

近日,绿盟科技CERT监测到React与Next.js发布安全公告,修复了React/Next.js远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478);由于React Server Components在处理HTTP请求时存在不安全地反序列化,未经身份验证的攻击者可通过构造特制表单调用Node.js内置模块,从而在目标服务器上执行任意代码 ,由于Next.js使用的App Router内嵌了React的DOM包,因此也受该漏洞影响。CVSS评分10.0,目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。

React是Facebook推出的开源JavaScript库,采用声明式编程范式,让开发者能够高效地创建可交互的Web应用界面。

Next.js是Node.js生态中基于React的开源Web框架,其通过Server Actions功能提供了后端开发能力。

绿盟科技已成功复现此漏洞:

参考链接:

https://nextjs.org/blog/CVE-2025-66478

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

   

2 影响范围

受影响版本

  • React Server = 19.0.0
  • React Server = 19.1.0
  • React Server = 19.1.1
  • React Server = 19.2.0

注:包括react-server-dom-webpack/react-server-dom-parcel/react-server-dom-turbopack

  • 15.0.0 <= Next.js <= 15.0.4
  • 15.1.0 <= Next.js <= 15.1.8
  • 15.2.0 <= Next.js <= 15.5.6
  • 16.0.0 <= Next.js <= 16.0.6
  • Next.js >= 14.3.0-canary.77

注:react-router, waku, @parcel/rsc, @vitejs/plugin-rsc、rwsdk和RedwoodJS (RSC模式)等依赖React的框架/工具也可能受影响。

不受影响版本

  • React Server = 19.0.1
  • React Server = 19.1.2
  • React Server = 19.2.1
  • Next.js = 13.x
  • Next.js = 14.x
  • Next.js >= 15.0.5
  • Next.js >= 15.1.9
  • Next.js >= 15.2.6
  • Next.js >= 15.3.6
  • Next.js >= 15.4.8
  • Next.js >= 15.5.7
  • Next.js >= 16.0.7

注:仅使用Client Components (Pages Router) 和Edge Runtime的Next.js应用不受影响。

 

3 漏洞排查

相关用户可通过排查项目是否使用了React Server Component(RSC):

1、判断应用是否使用next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc和rwsdk

2、检查代码中是否使用了use server/use client

若确定使用了React Server Component(RSC),进一步查看版本是否在受影响范围。

 

4 暴露面风险排查

4.1 云端检测

绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-55182/CVE-2025-66478漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。

感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。

4.2 工具排查

绿盟科技自动化渗透测试工具(EZ)已支持Next.js的服务识别和CVE-2025-55182漏洞风险检测,可直接使用web模块进行扫描。(注:企业版请联系绿盟销售人员获取)

工具下载链接:https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:

注:社区版本将于近日发布上述功能

5 漏洞防护

5.1 官方升级

目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级版本进行防护,下载链接:

https://github.com/facebook/react/releases

https://github.com/vercel/next.js/tags

5.2 临时防护措施

若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:

1、在不影响业务的前提下,修改配置禁用React Server Components功能;

2、对Server Function端点进行访问限制。

 

END

声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author