雷神众测漏洞周报2025.12.1-2025.12.7

1.React Server Components存在远程代码执行漏洞

漏洞介绍：

Server Components 是一种新型组件，它会在打包之前预先渲染，并且渲染环境与客户端应用程序或SSR服务器是分离的。这个独立的环境就是React Server Components中的“服务器”。Server Components可以在构建时在CI服务器上运行一次，也可以使用Web服务器为每个请求运行一次 ‌。

漏洞危害：

该漏洞允许未经身份验证的攻击者通过发送特制的HTTP请求，利用反序列化过程中的逻辑缺陷，在服务器端执行任意代码。攻击者利用React Flight协议在解析对象引用时的路径遍历缺陷，结合原型链污染和伪造 Chunk对象，劫持了内部处理逻辑，最终通过构造函数执行恶意JavaScript代码。由于Next.js Server Actions默认启用且广泛使用，该漏洞具有极高的潜在危害。建议所有使用Next.js App Router的开发团队立即排查并更新依赖。

漏洞编号：

CVE-2025-55182

影响范围：

React Server Components (RSC) 相关包

react-server-dom-webpack < 19.2.0

react-server-dom-turbopack < 19.2.0

Next.js 15.x

Next.js 16.x

Next.js 14.3.0-canary.77及以上canary版本

修复方案：

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

3.ZOHO ManageEngine Applications Manager命令注入漏洞

漏洞介绍：

ZOHO ManageEngine Applications Manager是美国卓豪（ZOHO）公司的一套IT运维管理解决方案。该产品具有应用性能管理、故障管理、报表生成和SLA管理等功能。

漏洞危害：

ZOHO ManageEngine Applications Manager存在命令注入漏洞，该漏洞是由于执行程序操作功能中的配置不当。攻击者可利用该漏洞导致任意命令执行。

漏洞编号：

CVE-2025-9223

影响范围：

ZOHO ManageEngine Applications Manager <=178100

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD