Akamai 将收购 LayerX,以便在任何浏览器上实现 AI 使用控制。 获取详情

CVE-2025-55182:React 和 Next.js 服务器函数反序列化远程代码执行漏洞

分享

内容提要

根据合作伙伴通知,新披露的漏洞 CVE-2025-55182 影响多个基于 React 的框架。该漏洞暴露了 React 服务器函数协议在处理传入 Flight 请求时存在严重安全缺陷。Next.js 团队已发布独立安全通告 CVE-2025-66478,以跟踪该漏洞的具体影响。

截至目前,尚未监测到该漏洞在真实网络环境中被利用的攻击案例。尽管如此,Akamai 已通过 Adaptive Security Engine 部署了快速响应规则,为我们的客户提供针对此威胁的防护。

漏洞详情

问题的核心在于不安全的反序列化过程:攻击者可控的输入数据在未经充分验证或净化的情况下被解析并展开。请注意:该漏洞无需身份验证即可利用,这使其利用门槛极低、危害性显著增大。

在此过程中,反序列化机制会隐式展开对象属性,使其易受原型污染攻击。通过向数据流中注入恶意键,攻击者可以篡改基础对象原型,在运行时改变 Web 应用程序的行为。

当此攻击原语与 React 服务器组件中的特定执行路径结合时,攻击可能升级为在目标服务器上实现远程代码执行。对于严重依赖 React 服务器组件和更广泛的服务器功能执行模型的 Web 应用程序来说,这种风险尤为严重,其中信任边界与序列化协议紧密结合。(有关详细信息,请参阅 React 团队发布的博文。)

该漏洞存在于以下包的 19.0、19.1.0、19.1.1 和 19.2.0 版本中:

  • React-server-dom-webpack

  • React-server-dom-parcel

  • React-server-dom-turbopack

以下框架与构建工具受到影响:

  • next

  • react-router

  • waku

  • @parcel/rsc

  • @vitejs/plugin-rsc

  • rwsdk

利用 Akamai App & API Protector 抵御漏洞

2025 年 12 月 3 日,Akamai 为 App & API Protector 客户部署了 Adaptive Security Engine 快速规则,以提供全面防护。

  • 3000976 — 检测到 React 远程代码执行攻击 (CVE-2025-55182)

总结

Akamai App & API Protector 中已部署新规则,以保护我们的客户免受此威胁。然而,最有效的防御措施始终是及时安装供应商提供的补丁程序。鉴于该漏洞的严重性,应尽快应用任何相关补丁程序。

Akamai 安全情报组将继续监控此类威胁,并随时向我们的客户及整个安全社区报告相关情况以及创建抵御措施。如需及时了解 Akamai 安全情报组发布的更多最新动态,请查看我们的研究首页并关注我们的社交媒体频道

标签

分享

相关博文

网络安全
Linux 中的 L 代表横向移动
June 28, 2023
并非只有 Windows 中才会发生横向移动。让我们来看看 Linux 中有哪些协议可用于实现横向移动,以便提升自身的防护能力。
网络安全
你让我“一见中毒”——基于 Mirai 的 NoaBot 现身
January 10, 2024
Akamai 安全研究人员发现一种新的加密货币挖矿活动 NoaBot,该活动使用了经过攻击者修改的自定义 Mirai 僵尸网络。
研究
迷你沙虫:蠕虫归来,公开肆虐
了解 2026 年沙虫供应链攻击:探索 TeamPCP 如何在恶意载荷中利用持续集成 (CI) 缓存中毒技术和滥用 OIDC 认证机制。