aggame官网

AGGAME·(中国区)集团官方网站

中文

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

登录

AGGAME·(中国区)集团官方网站

产品

< 返回主菜单

产品

解决计划

< 返回主菜单

解决计划中心

行业

服务支持

相助同伴

关于aggame官网

投资者关系

返回主菜单

选择区域/语言

AGGAME·(中国区)集团官方网站

首页
手艺博文
防火墙
aggame官网清静关于极危React Server Components远程代码执行误差的解读

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

aggame官网清静关于极危React Server Components远程代码执行误差的解读

近期，，，，，React 团队披露了React Server Components组件中的一个远程代码执行误差（CVE-2025-55182）。。。。。。。。React 服务器组件（RSC）是一项焦点功效，，，，，它允许开发者在服务器端直接渲染组件，，，，，并将效果发送至客户端，，，，，从而提升性能与用户体验。。。。。。。。现在，，，，，该手艺已被Next.js、Shopify Hydrogen、Gatsby 5等主流框架普遍接纳，，，，，在电商平台、SaaS服务以及内容站点等多个领域具有普遍应用。。。。。。。。在FOFA资产测绘平台的监测数据中，，，，，aggame官网清静发明基于Next.js的应用资产数目已达766万，，，，，这意味着凌驾200万台服务器可能面临清静危害。。。。。。。。尤为严肃的是，，，，，相关误差的使用乐成率极高，，，，，靠近100%，，，，，攻击者能够稳固实现完整的远程代码执行，，，，，对系统清静组成严重威胁。。。。。。。。

#防火墙

宣布时间：2026-01-05
点击量：
点赞：

分享至

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

我想谈论

近期，，，，，React 团队披露了React Server Components组件中的一个远程代码执行误差（CVE-2025-55182）。。。。。。。。React 服务器组件（RSC）是一项焦点功效，，，，，它允许开发者在服务器端直接渲染组件，，，，，并将效果发送至客户端，，，，，从而提升性能与用户体验。。。。。。。。现在，，，，，该手艺已被Next.js、Shopify Hydrogen、Gatsby 5等主流框架普遍接纳，，，，，在电商平台、SaaS服务以及内容站点等多个领域具有普遍应用。。。。。。。。

在FOFA资产测绘平台的监测数据中，，，，，aggame官网清静发明基于Next.js的应用资产数目已达766万，，，，，这意味着凌驾200万台服务器可能面临清静危害。。。。。。。。尤为严肃的是，，，，，相关误差的使用乐成率极高，，，，，靠近100%，，，，，攻击者能够稳固实现完整的远程代码执行，，，，，对系统清静组成严重威胁。。。。。。。。

AGGAME·(中国区)集团官方网站

1.误差概述

误差编号：CVE-2025-55182

误差类型：远程代码执行(RCE)

误差品级：高危

影响规模：React Server Components 相关框架和库，，，，，例如Next.js等。。。。。。。。

发明时间：2025年12月3日

CVSS评分：10（评分规模1-10，，，，，该误差评分最高）

POC状态：已果真

1.1 误差影响版版本

软件包	受影响版本规模
Next.js	15.0.0 -15.0.4
	15.1.0 -15.1.8
	15.2.0 -15.2.5
	15.3.0 -15.3.5
	15.4.0 -15.4.7
	16.0.0 -16.0.6
React RSC	19.0.0
React RSC	19.1.0 -19.1.1

1.2 误差复现

发送果真的HTTP恶意请求Payload可以看到服务器乐成执行我们要求执行whoami下令，，，，，服务器乐成执行whoami并在响应中返回whoami下令执行的效果。。。。。。。。

AGGAME·(中国区)集团官方网站

2.误差原理剖析

AGGAME·(中国区)集团官方网站

Flight协议：

React 19引入的客户端-服务端通讯协议

使用特殊的序列化名堂传输React组件树

支持引用系统：$@N (chunk引用), $B N (Blob引用), $F N (函数引用)

服务端反序列化后执行Server Actions/Components

CVE-2025-55182误差是源于服务端在反序列化 Server Action 请求时未校验�？？？？？？？？榈汲鍪粜缘恼毙�，，，，，攻击者可通过操控请求负载会见原型链上的危险要领（如 vm.runInThisContext），，，，，进而执行恣意系统下令，，，，，只要应用依赖中包括 vm、child_process 或 fs 等常见 Node.js �？？？？？？？？榧纯杀皇褂�，，，，，攻击者可通过结构恶意RSC请求在服务器端实现恣意代码执行。。。。。。。。

3.修复计划

3.1 官方修复计划

修复解决计划（含误差补丁！！�。。。。。�

官方已宣布清静补丁，，，，，请实时更新至最新版本：React Server 19.0.1、React Server 19.1.2、React Server 19.2.1

下载地点：https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

或者通过下令升级到清静版本，，，，，npm install react@19.0.1 react-dom@19.0.1 next@15.0.5

3.2 aggame官网防火墙防护计划

aggame官网网络防火墙在网络界线精准过滤携带CVE-2025-55182误差攻击特征的恶意流量，，，，，通过通用型误差+详细误差的检测理念，，，，，实现对未知+已知误差的精准阻挡和阻断，，，，，WEB应用清静通过深度剖析HTTP请求报文，，，，，精准识别如挪用child_process.execSync的高危参数及恶意结构内容，，，，，筑牢Web层纵深防御屏障。。。。。。。。

AGGAME·(中国区)集团官方网站

1.升级防火墙的IPS规则库版本到v20251208.1421版本

验证规则13240144、13240145、13240146是否在规则库。。。。。。。。在系统--特征库升级�？？？？？？？？榭糇远逗�，，，，，特征库将会自动联网更新，，，，，自动更新特征库的装备不受该误差影响。。。。。。。。

2.未联网装备可以通过登录aggame官网清静云官网https://secloud1.ruijie.com.cn/login，，，，，下载最新的IPS规则库

包管版本在v20251208.1421以上，，，，，离线升级规则库。。。。。。。。

基于以上剖析，，，，，针对React CVE-2025-55182这一CVSS满分高危误差，，，，，aggame官网防火墙的焦点防护优势可归纳综合为“快、全、简”三大特点：

响应迅速：误差披露后24小时内即完成攻击特征提取与防护规则同步，，，，，资助用户在第一时间启动有用防御；；；；；；；

笼罩周全：提供针对性防护规则，，，，，即开即用，，，，，无需重大设置；；；；；；；

安排轻盈：纵然暂未完成系统补丁升级，，，，，用户也可通过一键启用规则，，，，，快速构建清静缓冲地带。。。。。。。。

相关标签：

#防火墙

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

点赞

<< 当 CSI 叫醒 Wi-Fi “第六感”，，，，，天下将怎样改变？？？？？？？？

暂无下一条纪录 >>

客户谈论

暂无谈论

我要谈论

您的姓名

您的手机号*

您的邮箱

公司名称

您的谈论*

我已仔细阅读并赞成隐私声明

验证码*

提交谈论

更多手艺博文

任何需要，，，，，请联系aggame官网

与售前照料攀谈

填写项目需求表单

售前咨询
售后服务
意见反响

AGGAME·(中国区)集团官方网站

返回顶部

收起

文档AI助手

文档评价

该资料是否解决了您的问题？？？？？？？？

您对目今页面的知足度怎样？？？？？？？？

不咋滴

很是好

您知足的缘故原由是（多选！！�。。。。。�？？？？？？？？

您对文档是否尚有其它的问题或建议？？？？？？？？

为尽快解决问题，，，，，请您留下联系方法以便回复

邮箱

手机号

谢谢您的反响！！�。。。。。�

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

AGGAME·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法

【网站地图】【sitemap】