内容提要
根据合作伙伴通知,新披露的漏洞 CVE-2025-55182 影响多个基于 React 的框架。该漏洞暴露了 React 服务器函数协议在处理传入 Flight 请求时存在严重安全缺陷。Next.js 团队已发布独立安全通告 CVE-2025-66478,以跟踪该漏洞的具体影响。
截至目前,尚未监测到该漏洞在真实网络环境中被利用的攻击案例。尽管如此,Akamai 已通过 Adaptive Security Engine 部署了快速响应规则,为我们的客户提供针对此威胁的防护。
漏洞详情
问题的核心在于不安全的反序列化过程:攻击者可控的输入数据在未经充分验证或净化的情况下被解析并展开。请注意:该漏洞无需身份验证即可利用,这使其利用门槛极低、危害性显著增大。
在此过程中,反序列化机制会隐式展开对象属性,使其易受原型污染攻击。通过向数据流中注入恶意键,攻击者可以篡改基础对象原型,在运行时改变 Web 应用程序的行为。
当此攻击原语与 React 服务器组件中的特定执行路径结合时,攻击可能升级为在目标服务器上实现远程代码执行。对于严重依赖 React 服务器组件和更广泛的服务器功能执行模型的 Web 应用程序来说,这种风险尤为严重,其中信任边界与序列化协议紧密结合。(有关详细信息,请参阅 React 团队发布的博文。)
该漏洞存在于以下包的 19.0、19.1.0、19.1.1 和 19.2.0 版本中:
React-server-dom-webpack
React-server-dom-parcel
React-server-dom-turbopack
以下框架与构建工具受到影响:
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
利用 Akamai App & API Protector 抵御漏洞
2025 年 12 月 3 日,Akamai 为 App & API Protector 客户部署了 Adaptive Security Engine 快速规则,以提供全面防护。
3000976 — 检测到 React 远程代码执行攻击 (CVE-2025-55182)
总结
标签
