严重

React Server Components 远程代码执行漏洞

披露时间：

2025-12-03

更新时间：

2026-01-13

CT 编号

CT-2733529

CVE 编号

CVE-2025-55182

CNVD 编号

CNVD-2025-29924

CNNVD 编号

CNNVD-202512-393

原理分类

远程代码执行

漏洞评分

9.8

漏洞描述

React 是目前全球最主流、使用最广泛的前端开发框架/库之一，拥有庞大的开发者社区和生态系统。
2025年12月，长亭安全应急响应中心监测到React服务端组件存在反序列化代码执行漏洞。经分析，受影响版本中，React服务端组件(RSC)在处理ReplyFlightStream的反序列化数据时缺乏必要校验，最终导致未授权代码执行。

漏洞危害

攻击者可在服务器上执行任意代码，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

修复方法

官方已发布修复版本，具体升级方式可参考官方安全公告：
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

参考链接

http://www.openwall.com/lists/oss-security/2025/12/03/4

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

https://github.com/ejpir/CVE-2025-55182-poc

https://news.ycombinator.com/item?id=46136026

https://nvd.nist.gov/vuln/detail/CVE-2025-55182

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-55182

https://www.facebook.com/security/advisories/cve-2025-55182

长亭百川云

长亭百川云

长亭百川云

长亭百川云

React Server Components 远程代码执行漏洞