聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
React团队修复了React服务器组件(RSC)中的两个新漏洞,如遭成功利用,可能导致拒绝服务(DoS)或源代码泄露。
React 团队表示,这些漏洞是安全社区在尝试利用此前已遭利用漏洞CVE-2025-55182(CVSS评分:10.0)的补丁时发现的。
新发现的漏洞如下:
CVE-2025-55184(CVSS评分:7.5):预认证拒绝服务漏洞,因对HTTP请求至服务器函数端点的payload进行不安全反序列化造成,可能触发无限循环导致服务器进程挂起,并可能阻止后续HTTP请求的处理。
CVE-2025-67779(CVSS评分:7.5):由CVE-2025-55184的修复方案不完整造成,与该漏洞的影响一致。
CVE-2025-55183(CVSS评分:5.3):信息泄露漏洞,向存在漏洞的服务器函数发送特殊构造的HTTP请求时,可能返回任意服务器函数的源代码。
需要说明的是,成功利用CVE-2025-55183需要满足特定条件:必须存在一个服务器函数,该函数显式或隐式地暴露了已被转换为字符串格式的参数。
这些漏洞影响以下版本的 “react-server-dom-parcel”、“react-server-dom-turbopack” 和 “react-server-dom-webpack”:
CVE-2025-55184与CVE-2025-55183:19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0及19.2.1版本。
CVE-2025-67779:19.0.2、19.1.3及19.2.2版本。
其中,两个DoS 漏洞由安全研究员RyotaK和Shinsaku Nomura通过Meta漏洞赏金计划报送,而信息泄露漏洞由Andrew MacPherson报送。鉴于CVE-2025-55182正被积极探测利用,建议用户尽快升级至19.0.3、19.1.4和19.2.3版本。
React团队指出:“当严重漏洞被披露时,研究人员会细致审计相邻代码路径,寻找变种利用技术以测试初始缓解措施能否被绕过。这种模式普遍存在于整个行业而不仅限于JavaScript领域。虽然披露更多的漏洞可能令人沮丧,但它们通常表明健康的应急响应周期。”
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
速修复!React满分漏洞同时影响 Next.js,可导致未认证RCE
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
原文链接
https://thehackernews.com/2025/12/new-react-rsc-vulnerabilities-enable.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
