React RSC 新漏洞可导致 DoS 和源代码泄露

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

React团队修复了React服务器组件（RSC）中的两个新漏洞，如遭成功利用，可能导致拒绝服务（DoS）或源代码泄露。

React 团队表示，这些漏洞是安全社区在尝试利用此前已遭利用漏洞CVE-2025-55182（CVSS评分：10.0）的补丁时发现的。

新发现的漏洞如下：

• CVE-2025-55184（CVSS评分：7.5）：预认证拒绝服务漏洞，因对HTTP请求至服务器函数端点的payload进行不安全反序列化造成，可能触发无限循环导致服务器进程挂起，并可能阻止后续HTTP请求的处理。

• CVE-2025-67779（CVSS评分：7.5）：由CVE-2025-55184的修复方案不完整造成，与该漏洞的影响一致。

• CVE-2025-55183（CVSS评分：5.3）：信息泄露漏洞，向存在漏洞的服务器函数发送特殊构造的HTTP请求时，可能返回任意服务器函数的源代码。

需要说明的是，成功利用CVE-2025-55183需要满足特定条件：必须存在一个服务器函数，该函数显式或隐式地暴露了已被转换为字符串格式的参数。

这些漏洞影响以下版本的 “react-server-dom-parcel”、“react-server-dom-turbopack” 和 “react-server-dom-webpack”：

• CVE-2025-55184与CVE-2025-55183：19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0及19.2.1版本。

• CVE-2025-67779：19.0.2、19.1.3及19.2.2版本。

其中，两个DoS 漏洞由安全研究员RyotaK和Shinsaku Nomura通过Meta漏洞赏金计划报送，而信息泄露漏洞由Andrew MacPherson报送。鉴于CVE-2025-55182正被积极探测利用，建议用户尽快升级至19.0.3、19.1.4和19.2.3版本。

React团队指出：“当严重漏洞被披露时，研究人员会细致审计相邻代码路径，寻找变种利用技术以测试初始缓解措施能否被绕过。这种模式普遍存在于整个行业而不仅限于JavaScript领域。虽然披露更多的漏洞可能令人沮丧，但它们通常表明健康的应急响应周期。”

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

速修复！React满分漏洞同时影响 Next.js，可导致未认证RCE

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

原文链接

https://thehackernews.com/2025/12/new-react-rsc-vulnerabilities-enable.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~