React和Next.js出现远程代码执行漏洞 Cloudflare已部署规则进行防御
谷歌旗下网络安全公司 Wiz 日前发布报告透露 React 和 Next.js 中存在的高危安全漏洞,该漏洞属于未经身份验证的远程代码执行漏洞,只需要构建特殊的 HTTP 请求即可触发漏洞,并且成功率接近 100%。
漏洞编号分别是 React CVE-2025-55182 和 Next.js CVE-2025-66478,漏洞位于 React 服务器组件 Flight 协议中,由于默认配置就存在该漏洞,使用 Next.js 创建并构建的应用程序都可能会被利用。
本质上这仍然属于反序列化问题,漏洞源于 React 服务器组件有效荷载处理中的不安全的反序列化,这让攻击者能够利用控制的数据影响服务器端的执行,进而造成更加严重的危害。
目前 React 和 Next.js 发布的加固版本已经发布,加固版本可以防御此类攻击,由于漏洞处在发现初期,因此 Wiz 暂时不公布详细的漏洞细节,避免有攻击者利用漏洞细节找出攻击方法。(Sources:Wiz)
易受攻击的产品及补丁版本:
react-server-dom*:19.0.0、19.1.0、19.1.1、19.2.0 补丁版本:19.0.1、19.1.2、19.2.1
Next.js:14.3.0-canary、15.x 和 16.x 补丁版本:14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7
任何捆绑了 react-server 实现的框架和库都可能受影响,包括但不限于以下框架或库:
Next.js
Vite RSC plugin
Parcel RSC plugin
React Router RSC preview
RedwoodSDK
Waku
Cloudflare 自动部署规则集:
如果你的网站或应用程序使用 Cloudflare WAF 则可以自动免疫攻击,Cloudflare 目前已经在规则集里部署针对该漏洞的防御手段,即如果有攻击者尝试通过构造 HTTP 请求的方式展开攻击,Cloudflare WAF 会在检测到请求后直接拦截。
自动免疫包含 Cloudflare 免费用户和付费用户,前提是流量必须经过 Cloudflare 代理 (开启橙色小云朵),基于安全考虑,开发者仍然应当升级到补丁版本避免潜在攻击。
注意:免费版用户自动使用上述规则集,付费用户需要确保已经启用托管规则 (规则集已经放在这个托管规则里)。(Sources:Cloudflare)
-
Perplexica:开源AI搜索引擎的未来之选
Perplexica是一款开源的AI驱动搜索引擎,在GitHub上获得了22.2K颗星的关注,成为搜索引擎技术领域最受瞩目的项目之一。作为商业化产品Perplexity AI的开源替代方案,Perpl
-
React框架Next.js出现严重安全漏洞
Next.js 是一款流行的 React 框架,可帮助开发人员快速高效地构建全栈 Web 应用程序,它最近披露了一个关键的授权绕过漏洞,需要开发人员立即关注。漏洞编号为 CVE-2025-29927
-
ai-logo一个开源 AI 生成 Logo 项目
一个开源 AI 生成 Logo 项目,结合 AI 的强大设计能力,自动生成高质量、独特且符合品牌风格的 Logo。无论你是创业者、设计师还是开发者,AI Logo 都能帮助你 快速创建专业品牌 Log
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号随时掌握互联网精彩
微信扫码关注公众号