React和Next.js出现远程代码执行漏洞 Cloudflare已部署规则进行防御
React 和 Next.js 出现高危安全漏洞,只需要构造特定 HTTP 请求即可无需验证发起远程代码执行,Cloudflare 已经部署防护规则集自动进行保护。目前补丁版本已经发布,如果开发者暂时无法修复,也可以将服务托管在 Cloudflare,后者已经部署规则集可以自动检测此类攻击并进行拦截 (免费用户也可自动启用)。
谷歌旗下网络安全公司 Wiz 日前发布报告透露 React 和 Next.js 中存在的高危安全漏洞,该漏洞属于未经身份验证的远程代码执行漏洞,只需要构建特殊的 HTTP 请求即可触发漏洞,并且成功率接近 100%。
漏洞编号分别是 React CVE-2025-55182 和 Next.js CVE-2025-66478,漏洞位于 React 服务器组件 Flight 协议中,由于默认配置就存在该漏洞,使用 Next.js 创建并构建的应用程序都可能会被利用。
本质上这仍然属于反序列化问题,漏洞源于 React 服务器组件有效荷载处理中的不安全的反序列化,这让攻击者能够利用控制的数据影响服务器端的执行,进而造成更加严重的危害。
目前 React 和 Next.js 发布的加固版本已经发布,加固版本可以防御此类攻击,由于漏洞处在发现初期,因此 Wiz 暂时不公布详细的漏洞细节,避免有攻击者利用漏洞细节找出攻击方法。(Sources:Wiz)
易受攻击的产品及补丁版本:
react-server-dom*:19.0.0、19.1.0、19.1.1、19.2.0 补丁版本:19.0.1、19.1.2、19.2.1
Next.js:14.3.0-canary、15.x 和 16.x 补丁版本:14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7
任何捆绑了 react-server 实现的框架和库都可能受影响,包括但不限于以下框架或库:
Cloudflare 自动部署规则集:
如果你的网站或应用程序使用 Cloudflare WAF 则可以自动免疫攻击,Cloudflare 目前已经在规则集里部署针对该漏洞的防御手段,即如果有攻击者尝试通过构造 HTTP 请求的方式展开攻击,Cloudflare WAF 会在检测到请求后直接拦截。
自动免疫包含 Cloudflare 免费用户和付费用户,前提是流量必须经过 Cloudflare 代理 (开启橙色小云朵),基于安全考虑,开发者仍然应当升级到补丁版本避免潜在攻击。
注意:免费版用户自动使用上述规则集,付费用户需要确保已经启用托管规则 (规则集已经放在这个托管规则里)。(Sources:Cloudflare)
漏洞编号分别是 React CVE-2025-55182 和 Next.js CVE-2025-66478,漏洞位于 React 服务器组件 Flight 协议中,由于默认配置就存在该漏洞,使用 Next.js 创建并构建的应用程序都可能会被利用。
本质上这仍然属于反序列化问题,漏洞源于 React 服务器组件有效荷载处理中的不安全的反序列化,这让攻击者能够利用控制的数据影响服务器端的执行,进而造成更加严重的危害。
目前 React 和 Next.js 发布的加固版本已经发布,加固版本可以防御此类攻击,由于漏洞处在发现初期,因此 Wiz 暂时不公布详细的漏洞细节,避免有攻击者利用漏洞细节找出攻击方法。(Sources:Wiz)
易受攻击的产品及补丁版本:
react-server-dom*:19.0.0、19.1.0、19.1.1、19.2.0 补丁版本:19.0.1、19.1.2、19.2.1
Next.js:14.3.0-canary、15.x 和 16.x 补丁版本:14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7
任何捆绑了 react-server 实现的框架和库都可能受影响,包括但不限于以下框架或库:
Cloudflare 自动部署规则集:
如果你的网站或应用程序使用 Cloudflare WAF 则可以自动免疫攻击,Cloudflare 目前已经在规则集里部署针对该漏洞的防御手段,即如果有攻击者尝试通过构造 HTTP 请求的方式展开攻击,Cloudflare WAF 会在检测到请求后直接拦截。
自动免疫包含 Cloudflare 免费用户和付费用户,前提是流量必须经过 Cloudflare 代理 (开启橙色小云朵),基于安全考虑,开发者仍然应当升级到补丁版本避免潜在攻击。
注意:免费版用户自动使用上述规则集,付费用户需要确保已经启用托管规则 (规则集已经放在这个托管规则里)。(Sources:Cloudflare)
关于作者
评论0次