React/Next.js 最新远程代码执行漏洞实际影响有限，仅影响近一年应用

2025-12-09
北京
本文字数：1395 字
阅读完需：约 5 分钟

漏洞描述

12 月 4 日，React 与 Next.js 官方披露了两个与 React Server Components（RSC）相关的远程代码执行严重漏洞：CVE-2025-55182（React）与 CVE-2025-66478（Next.js），其根因都是由于 react-server-dom 系列的三个实验性对 Flight 协议的反序列化实现不当，这些组件用于处理 Flight 协议到 dom 的转换：

react-server-dom-webpack
react-server-dom-turbopack
react-server-dom-parcel

漏洞影响

从当前实际使用情况来看，影响范围有限，其原因是：

漏洞仅影响近一年发布的应用，漏洞最早受影响版本 19.0 rc 版于 2024 年 5 月发布，正式版发布于 2024 年 12 月，而 19.0 之前的更早版本不受影响；

（react-server-dom-webpack版本发布时间）

这 3 个组件的实际使用量在 npm 生态中不大，这 3 个组件官方声明都是实验性阶段的 React Flight 协议 binding 组件。其中 react-server-dom-webpack 受影响版本最近一周在 NPM 仓库下载量约 15 万、react-server-dom-turbopack 每周下载量 3 万、react-server-dom-parcel 每周下载量不到 3 千。

从国内企业级应用的开发生态来看，绝大多数前端应用仍然采用“前后端分离”架构（React SPA + 后端 API），这种模式不会启用 React Server Components（RSC），next.js 未广泛使用，因此整体受影响面相对有限。

排查处置建议

当前墨菲安全 SCA 及漏洞情报产品已支持此漏洞排查，建议企业首先可基于当前已经披露的受影响版本范围排查：

react-server-dom-parcel

仓库类型 npm 受影响的版本[19.2.0,19.2.1)最小修复版本 19.2.1

仓库类型 npm 受影响的版本[19.1.0,19.1.2)最小修复版本 19.1.2

仓库类型 npm 受影响的版本[19.0,19.0.1)最小修复版本 19.0.1

react-server-dom-turbopack

仓库类型 npm 受影响的版本[19.2.0,19.2.1)最小修复版本 19.2.1

仓库类型 npm 受影响的版本[19.1.0,19.1.2)最小修复版本 19.1.2

仓库类型 npm 受影响的版本[19.0,19.0.1)最小修复版本 19.0.1

react-server-dom-webpack

仓库类型 npm 受影响的版本[19.0,19.0.1)最小修复版本 19.0.1

仓库类型 npm 受影响的版本[19.2.0,19.2.1)最小修复版本 19.2.1

仓库类型 npm 受影响的版本[19.1.0,19.1.2)最小修复版本 19.1.2

仓库类型 npm 受影响的版本[15.1.1-canary.0,15.1.9)最小修复版本 15.1.9

仓库类型 npm 受影响的版本[14.3.0-canary.77,15.0.5)最小修复版本 15.0.5

仓库类型 npm 受影响的版本[15.5.1-canary.0,15.5.7)最小修复版本 15.5.7

仓库类型 npm 受影响的版本[15.2.0-canary.0,15.2.6)最小修复版本 15.2.6

仓库类型 npm 受影响的版本[15.3.0-canary.0,15.3.6)最小修复版本 15.3.6

仓库类型 npm 受影响的版本[15.4.0-canary.0,15.4.8)最小修复版本 15.4.8

仓库类型 npm 受影响的版本[16.0.0-canary.0,16.0.7)最小修复版本 16.0.7

如果组件通过 npm 引入 react-server-dom-webpack 作为依赖，通过检查 package-lock.json 文件可以排查。但存在类似 next.js 这样将打包后的 react-server-dom-webpack 文件直接放到源代码目录的情况，会存在于应用./node_modules/next/dist/compiled/react-server-dom-webpack 路径中，针对此类嵌入的场景我们也在梳理其影响范围，同时建议结合判断文件目录是否存在于主机中等多种方式排查。