React高危漏洞，腾讯云全系安全产品一键防护

React Server Components（RSC）是一种用于构建高性能的混合渲染应用，广泛用于Next.js等主流框架，在React 19被引入。

该漏洞存在于React解码发送至React Server Functions端点的请求负载过程中。未经身份验证的攻击者可以向任何Server Function端点构造恶意HTTP请求，当请求被React反序列化时，即可在服务器上实现远程代码执行。

鉴于漏洞利用细节已被公开，建议受影响用户尽快升级到最新的版本或采取修复防御措施。目前腾讯云主机安全，腾讯云WAF，腾讯云防火墙、已全面支持检测和防御，可一键开启相应防护。

官方参考链接：

https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r

https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

https://nextjs.org/blog/CVE-2025-66478

漏洞名称  ：React Server Components 远程代码执行漏洞

漏洞编号  ：CVE-2025-55182（React）、CVE-2025-66478（Next.js）

危害等级  ：严重（CVSS 10.0）

漏洞类型  ：远程代码执行

React组件影响范围：

受影响框架 ：Next.js、React Router、Waku、@parcel/rsc、@vitejs/plugin-rsc、rwsdk等支持RSC的框架和构建工具。

Next.js框架影响范围  ：

• 14.3.0-canary.77 <= Next.js < 15.0.5 

• 15.1.0 <= Next.js < 15.1.9

• 15.2.0 <= Next.js < 15.2.6 

• 15.3.0 <= Next.js < 15.3.6

• 15.4.0 <= Next.js < 15.4.8

• 15.5.0 <= Next.js < 15.5.7

• 16.0.0 <= Next.js < 16.0.7

安全版本  ：

• react-server-dom-* 系列包：>=19.0.1、>=19.1.2、>=19.2.1

• Next.js：>=15.0.5、>=15.1.9、>=15.2.6、>=15.3.6、>=15.4.8、>=15.5.7、>=16.0.7

请评估业务是否受影响后，升级至官方发布的安全版本。并可在安排升级的同时开启云上安全产品来进行防护，确保安全。

针对 Next.js 用户：

可按照如下方法升级到安全版本：

# 根据您的版本线选择对应的修复版本npm install [email protected] //针对 15.0.xnpm install [email protected] //针对 15.1.xnpm install [email protected] //针对 15.2.xnpm install [email protected] //针对 15.3.xnpm install [email protected] //针对 15.4.xnpm install [email protected] //针对 15.5.xnpm install [email protected] //针对 16.0.x

如使用Next.js 14.3.0-canary.77或更高canary版本，请降级到稳定版：

npm install next@14

React用户  ：

根据使用的框架升级相应包至最新版本

npm install react@latestnpm install react-dom@latestnpm install react-server-dom-parcel@latestnpm install react-server-dom-webpack@latestnpm install @vitejs/plugin-rsc@latest