关于 CVE-2025-55182 的讨论已经持续两天了。青小蛙在社区中看到 @Fiend_FEARing 同学的预警帖:《重大漏洞预警:CVE-2025-55182(CVSS 10.0)影响 React Server Components》。
当时青小蛙就震惊了,满分 CVSS 10.0 的漏洞评分极少见啊,于是就查了一下,上一次影响范围这么广的10分漏洞,还是大名鼎鼎的 Log4Shell 漏洞。
发生了什么?
React Server Components(RSC)爆出了一个 CVSS 10.0 满分漏洞,漏洞编号:CVE-2025-55182。
这是 CVE 中最高等级的漏洞(顺便参考:CVE 是什么)。
这是一个未授权远程代码执行(RCE)漏洞
- 不需要登录
- 不需要权限
- 黑客可在服务器上执行任意代码
因为 RSC 已成为现代 React / Next.js 默认机制,所以影响范围极大。这次事件也被社区戏称 React2Shell,类比当年的 Log4Shell。
RSC 是什么?
先来解释 React
React 是一个使用 JavaScript 语言来编写网页、应用、软件界面的技术框架,可以将 React 理解为乐高积木:
- 一个按钮是一块积木
- 一条评论是一块积木
- 一个商品卡片是一块积木
最后把这些组件拼起来,就能构成完整的界面。
这种积木化的模式非常高效,因此 React 十分流行。
再说 RSC(React Server Components)
RSC 做了一件重要的事:把原本需要在用户浏览器里执行的一部分 React 组件,改成在服务器上执行。
这样可以让用户更快的加载页面,并且服务器也能更快、更安全。
对谁有影响?
RSC 是 React 官方自己发布、自己推荐的下一代架构。
而更关键的是,最流行的 React 框架 Next.js,已经把 RSC 作为默认工作方式。
仍然用乐高来比喻:
- React 是基础积木
- RSC 是新玩法
- Next.js 是带说明书、带包装盒,可以直接拿去售卖的乐高套装
已经有很多知名公司的网站或产品都使用了 Next.js,比如 Netflix、Twitch、、Hulu、Binance、OpenAI、Claude、Stripe、GitHub Copilot、Notion、Nike 都在使用 Next.js,所以影响范围极广。
该怎么办?
作为像青小蛙一样的普通用户,吃瓜。就当个八卦听听好了。顺便了解一个冷知识嘛。
作为开发者,他会自己着急的 😂 (去升级啦)
已修复版本:
- react-server-dom-parcel:19.0.1 / 19.1.2 / 19.2.1
- react-server-dom-turbopack:19.0.1 / 19.1.2 / 19.2.1
- react-server-dom-webpack:19.0.1 / 19.1.2 / 19.2.1
Next.js 方面,以下版本已修复:
- 15 系列:15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7
- 16 系列:16.0.7
回顾:Log4Shell(CVE-2021-44228)
如果你曾经听过 Log4Shell,就是2021年的那场重大漏洞,它出现在几乎所有 Java 系统都会用到的 Log4j 日志组件中。
因为 Log4j 的普及度太高,导致全世界无数网站、企业系统、云服务都暴露在风险之下。
黑客只需要发送一条特制的日志字符串,就能让服务器执行他们的恶意代码。让很多大型企业紧张了一段时间。
Log4Shell 至今仍被视为互联网历史上最严重的漏洞之一。
原文:https://www.appinn.com/react-rsc-cve-2025-55182/
![微信 8.0.54 更新,WeChat 用户支持通行密钥登录[iOS] 4](https://www.appinn.com/wp-content/uploads/2024/11/Appinn-Feature-images-2024-11-15T170658.241-115x115.jpg "微信 8.0.54 更新,WeChat 用户支持通行密钥登录[iOS] 4")
![很容易音乐 - 只有 449KB,处于开发早期的第三方开源网易云音乐客户端[Windows] 5](https://www.appinn.com/wp-content/uploads/2023/11/Appinn-feature-images-2023-11-02T140805.277-115x115.jpg "很容易音乐 - 只有 449KB,处于开发早期的第三方开源网易云音乐客户端[Windows] 5")