一、漏洞详情

CVE-2025-55182是一个影响 React Server Components（RSC）的严重安全漏洞，它允许攻击者通过发送特制的 HTTP请求，在缺乏身份验证的情况下触发服务器端反序列化逻辑，从而导致任意远程代码执行（RCE）。由于这一问题，一旦Web应用部署在受影响版本并启用了RSC，即使没有额外配置，也可能被攻击者远程控制服务器。

同时 CVE-2025-66478 是用来标识当Next.js在其App Router中使用上述受影响的React Server Components实现时所暴露的相同漏洞。也就是说，CVE-2025-66478并不是一个独立的新问题，而是将CVE-2025-55182的风险“下游继承”到Next.js框架层，因此对使用React RSC的Next.js应用而言，它们与React本身一样处于危险之中。

二、影响范围

1、React Server Components远程代码执行漏洞（CVE-2025-55182）：

受影响产品：

react-server-dom-webpack

react-server-dom-parcel

react-server-dom-turbopack

产品版本：

React Server19.0.0

React Server19.1.0、19.1.1

React Server19.2.0

2、Next.js远程代码执行漏洞（CVE-2025-66478）：

受影响产品及版本：

Next.js 15.0.x   <15.0.5

Next.js 15.1.x   <15.1.9

Next.js 15.2.x   <15.2.6

Next.js 15.3.x   <15.3.6

Next.js 15.4.x   <15.4.8

Next.js 15.5.x   <15.5.7

Next.js 16.0.x   <16.0.7

Next.js 14      14.3.0-canary.77和以上的canary版本

三、修复建议

官方已发布升级补丁，建议受影响用户及时更新至最新版本：

React Server已修复版本：

19.0.1

19.1.2

19.2.1

Next.js已修复版本：

15.0.5

15.1.9

15.2.6

15.3.6

15.4.8

15.5.7

16.0.7

漏洞修复参考链接：

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components