## 反应式服务器部件下期曝光中RCE关键脆弱性js和其他框架
在雷电服务器部件中已经发现一个关键的远程代码执行弱点,使未经认证的攻击者能够在服务器上实施任意编码。 其缺陷源于React Flight规程中不安全的消毒,直接影响到Lext.js等主要框架。 这不是理论上的风险;脆弱性是在一个现场项目中发现的,强调其可立即利用性。 目前正在进行自动补丁工作,但基本威胁需要所有受影响的发展小组紧急人工审查和补救。 安全咨询现已公开,该问题已正式列入CVE-2025-55182(反应)和CVe-2025-66478(下js)。 Vercel公司已提出自动拉动请求,将易受损包升级为贴合版本,但明确警告说这一自动化修补办法可能不够全面并可能有错误。 核心危险在于脆弱性的路径:它允许恶意行为者完全绕过认证,通过一个破坏飞行攻击矢量实现服务器方的区域环境标准,这严重违反了应用安全界限。 使用反应服务器组件的任何生产应用,特别是用Next.js制造的部件,都会产生广泛的影响。 虽然有补丁,但责任在于开发商和安全小组来核查修补办法、进行额外的安全检查并确保不存在残余接触。 这一事件对各组织造成很大压力,要求它们立即对其部署情况进行审计,因为公开披露CVE的细节增加了在野外积极剥削的可能性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: GitHub Issues, React, Next.js, CVE, RCE, Security Vulnerability
- **Credibility**: unverified
- **Published**: 2026-03-31 00:34:34
- **ID**: 42049
- **URL**: https://whisperx.ai/zh/intel/42049