内容提要
合作伙伴已告知我们,一些新披露的漏洞会影响多个 React 框架。
Akamai 已部署 Akamai Adaptive Security Engine 快速规则,保护客户免受这些威胁。对于订阅了 Akamai Hunt 服务的 Guardicore 客户,Akamai 已在客户环境中搜索并识别存在漏洞的相关资产,并给出了相应保护建议。
漏洞详情
React 服务器组件 (RSC) 框架中发现了两个新增漏洞:
- CVE-2025-55183 — 信息泄露:攻击者可能通过强制修改服务器函数参数,在未正确验证输入时,泄露服务器端专有的源代码。
- CVE-2025-55184 — 函数级拒绝服务 (DoS):精心设计有效载荷可通过生成无限递归的 Promise 对象,冻结 Node.js 服务器并导致受影响服务器离线。
利用 Akamai App & API Protector 抵御漏洞
2025 年 12 月 10 日,Akamai 已为 App & API Protector 客户部署 Adaptive Security Engine 快速规则,达成全面覆盖效果:
3000977 — 检测到 React 信息泄露漏洞 (CVE-2025-55183)
3000978 — 检测到 React 拒绝服务漏洞 (CVE-2025-55184)
总结
Akamai 已在 App & API Protector 中部署新规则,保护客户免受影响多个 React 框架的新披露漏洞威胁。
Akamai Hunt 客户可享受全天候持续监控服务,快速识别此类新增高严重性漏洞,并通过 Guardicore 精细微分段功能获取有针对性的虚拟修补建议。
启用了 Insight 功能的 Guardicore 客户可以通过恰当查询,识别存在漏洞的资产:
SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack')
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')
UNION ALL
SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');关注最新动态
标签
