关于 React Server Components 远程代码执行漏洞(CVE-2025-55182) 防护

近期，React Server Components (RSC) 被曝存在高危远程代码执行漏洞 (CVE-2025-55182)。攻击者可通过恶意构造的序列化数据（Flight 协议），利用 Next.js Server Actions 等功能触发反序列化漏洞，进而控制服务器。

第一优先级：排查与升级（根治方案）

该漏洞主要影响使用了 React Server Components (RSC) 及 Server Actions 功能的应用，常见于 Next.js 框架中。

1. 如何判断是否受影响？

• 您的项目是否使用了 Next.js（特别是 v13.4+ 版本）？
• 代码中是否使用了 "use server" 指令（Server Actions）？

注意： 漏洞组件 react-server-dom-webpack 通常被打包在 Next.js 内部，您可能无法在 package.json 中直接看到它 。

2. 升级建议

建议您立即将 Next.js 升级至官方发布的最新安全版本（如 Next.js 14.x 或 15.x 的修复版本），React 官方已在最新版本中修复了对恶意 "Thenable" 对象的解析逻辑。

第二优先级：WAF 防护规则

• 订阅方式：
  • 搜索名称【RSC 远程代码执行漏洞防护规则】进行订阅
    • 创建者：神经蛙
  • 规则后续会根据漏洞利用情况适时更新
• 自行添加：
  • 在自定义规则中添加黑名单，条件如下
    • 请求 Header 参数 Content-Type 正则匹配 multipart
    • AND
    • 请求 Body 正则匹配 ['"]?then['"]?\s*:\s*['"]?$1:proto:then