常见SEO阿里云服务器的用户名39%的云环境存在最高严重级别的React漏洞（CVE-2025-55182）

怎么上传阿里云服务器

广泛使用的 JavaScript 库 React 以及包括Next.js在内的多个基于 React 的框架中存在一个最高级别的严重漏洞，该漏洞允许未经身份验证的远程攻击者在易受攻击的实例上执行恶意代码。

安全研究人员表示，该漏洞易于利用，大规模利用迫在眉睫。

React 团队于周三披露了React 服务器组件中存在的未经身份验证的远程代码执行 (RCE) 漏洞。该漏洞的编号为CVE-2025-55182，CVSS 严重性评级为最高 10.0 分。

这事非同小可，因为互联网的很大一部分都是基于 React 构建的——据估计，39% 的云环境都容易受到此漏洞的影响。

因此，修复该漏洞理应在待办事项清单上占据重要位置。

该漏洞影响以下版本：

react-server-dom-parcel（19.0.0、19.1.0、19.1.1 和 19.2.0）

react-server-dom-webpack（19.0.0、19.1.0、19.1.1 和 19.2.0）

react-server-dom-turbopack（19.0.0、19.1.0、19.1.1 和 19.2.0）

这些软件包包含在以下框架和打包工具中：

Next.js 版本 ≥14.3.0-canary.77、≥15 和 ≥16

其他嵌入或依赖于 React Server Components 实现的框架和插件（例如 Vite、Parcel、React Router、RedwoodSDK、Waku）

该项目的维护者表示，升级到19.0.1、19.1.2和19.2.1版本可以修复该缺陷。

React 团队在周三发布的安全公告中表示：我们建议立即升级。

CVE-2025-55182 对全球使用最广泛的 Web 应用程序框架之一的用户构成重大风险。风险管理工具供应商 watchTowr 的创始人兼首席执行官 Benjamin Harris 告诉The Register。利用该漏洞几乎不需要任何前提条件，毫无疑问，一旦攻击者开始分析目前已公开的补丁，该漏洞就会立即被实际利用。

阿里云服务器系统

Next.js 的创建者和主要维护者 Vercel为该漏洞分配了 CVE（CVE-2025-66478），并在周三发布了警报和补丁。

虽然我们对该漏洞的细节了解不多，但我们知道它利用了 React 解码发送到 React 服务器函数端点的有效负载方式中的一个缺陷。

安全警报警告称：未经身份验证的攻击者可以构造恶意 HTTP 请求，发送到任何服务器函数端点。当 React 反序列化该请求时，即可在服务器上执行远程代码。漏洞的更多细节将在修复程序部署完成后提供。

研究员拉赫兰·戴维森（Lachlan Davidson）于周六发现了该漏洞，并将其报告给了创建该开源项目的 Meta 公司。Meta 与 React 团队合作，仅用了四天时间就迅速推出了紧急补丁。

免费云 服务器

React 的应用非常广泛——Meta 的 Facebook 和 Instagram、Netflix、Airbnb、Shopify、Hello Fresh、沃尔玛和 Asana 都依赖它，数百万开发者也依赖它——而且许多框架都依赖于存在漏洞的 React 包。

因此，这个 CVE 漏洞使互联网的相当大部分都面临风险。

Wiz 的数据显示，39% 的云环境包含 Next.js 或 React 实例，这些实例的版本容易受到 CVE-2025-55182 和/或 CVE-2025-66478 的攻击。云安全公司的威胁猎手 Gili Tikochinski、Merav Bar 和 Danielle Aminov周三表示。

这家即将被谷歌收购的公司对该漏洞及其修复方法进行了试验，并报告称利用此漏洞的成功率很高，接近 100%，并且可以利用它进行完整的远程代码执行。

由于该漏洞的严重性和易利用性，必须立即进行修补。三人补充道。

截至发稿时，《The Register》尚未发现任何实际利用该漏洞的报告。然而，可以肯定的是，犯罪分子已经在对补丁进行逆向工程，并扫描互联网上已暴露的、存在漏洞的实例。

Rapid7 的高级首席研究员 Stephen Fewer 告诉The Register：由于 React 和基于 React 构建的 Next.js 等框架的广泛使用，预计此漏洞将引起广泛关注。

他说：技术细节和漏洞利用代码被公开的可能性很高，因此漏洞很可能很快就会被利用。所以，立即修复这个漏洞至关重要。

详细漏洞公告：

https://vercel.com/changelog/cve-2025-55182

阿里云 服务器 升级