Akamai 收购 LayerX,为所有浏览器提供端到端安全和实时 AI 使用控制。 获取详情

CVE-2025-55183 和 CVE-2025-55184:抵御 React/Next.js 漏洞

分享

内容提要

合作伙伴已告知我们,一些新披露的漏洞会影响多个 React 框架。

Akamai 已部署 Akamai Adaptive Security Engine 快速规则,保护客户免受这些威胁。对于订阅了 Akamai Hunt 服务的 Guardicore 客户,Akamai 已在客户环境中搜索并识别存在漏洞的相关资产,并给出了相应保护建议。

漏洞详情

React 服务器组件 (RSC) 框架中发现了两个新增漏洞:

  1. CVE-2025-55183 — 信息泄露:攻击者可能通过强制修改服务器函数参数,在未正确验证输入时,泄露服务器端专有的源代码。
  2. CVE-2025-55184 — 函数级拒绝服务 (DoS):精心设计有效载荷可通过生成无限递归的 Promise 对象,冻结 Node.js 服务器并导致受影响服务器离线。

利用 Akamai App & API Protector 抵御漏洞

2025 年 12 月 10 日,Akamai 已为 App & API Protector 客户部署 Adaptive Security Engine 快速规则,达成全面覆盖效果:

  • 3000977 — 检测到 React 信息泄露漏洞 (CVE-2025-55183)

  • 3000978 — 检测到 React 拒绝服务漏洞 (CVE-2025-55184)

总结

Akamai 已在 App & API Protector 中部署新规则,保护客户免受影响多个 React 框架的新披露漏洞威胁。

Akamai Hunt 客户可享受全天候持续监控服务,快速识别此类新增高严重性漏洞,并通过 Guardicore 精细微分段功能获取有针对性的虚拟修补建议。

启用了 Insight 功能的 Guardicore 客户可以通过恰当查询,识别存在漏洞的资产:

SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack') 
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')

UNION ALL

SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');

然而,有效防御机制的关键在于及时应用供应商提供的补丁。鉴于此问题的严重性,必须尽快应用补丁。有关补丁的更多信息,请参阅 ReactNext.js 博客文章。

关注最新动态

Akamai 安全情报组将继续监控此类威胁,并随时向我们的客户及整个安全社区报告相关情况以及创建抵御措施。如需及时了解 Akamai 安全情报组发布的更多最新动态,请查看我们的研究首页并关注我们的社交媒体频道

标签

分享

相关博客文章

安全研究
Xurum:新型 Magento 攻击活动
Akamai 研究人员发现一起针对 Magento 的新型复杂威胁活动,对该活动进行了分析并将其称为“Xurum”。请阅读本博文,了解攻击详情和研究结论。
安全研究
这种抓取会产生怎样的影响?网络抓取类爬虫程序如何损害电商利润
June 25, 2024
关于电商的 SOTI 报告描述了网络抓取类爬虫程序的经济影响、检测难点和复杂程度。
网络安全
Linux 中的 L 代表横向移动
June 28, 2023
并非只有 Windows 中才会发生横向移动。让我们来看看 Linux 中有哪些协议可用于实现横向移动,以便提升自身的防护能力。