React Server Components 远程代码执行漏洞

React 是目前全球最主流、使用最广泛的前端开发框架/库之一，拥有庞大的开发者社区和生态系统。
2025年12月，长亭安全应急响应中心监测到React服务端组件存在反序列化代码执行漏洞。经分析，受影响版本中，React服务端组件(RSC)在处理ReplyFlightStream的反序列化数据时缺乏必要校验，最终导致未授权代码执行。
受影响条件：
如果您的应用只是纯前端页面（没有服务器端代码），则不受此漏洞影响
如果您的应用没有使用React服务端组件（RSC）功能，则不受此漏洞影响
前后端分离项目：如果您使用React仅作为前端开发（如create-react-app、Vite等），后端是独立的API服务，则不受此漏洞影响
简单来说：只有同时满足"使用React SSR（服务端渲染）或全栈框架"且"启用了React服务端组件功能"的应用才会受到影响。
注意：此漏洞影响范围相对有限，仅影响使用React服务端组件的应用，传统的纯前端React应用和前后端分离架构都是安全的，开发者无需过于惊慌。建议受影响的用户尽快升级至修复版本。

攻击者可在服务器上执行任意代码，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

官方已发布修复版本，具体升级方式可参考官方安全公告：
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components