## 反应式服务器部件下期曝光中RCE关键脆弱性js和其他框架
在反应服务器部件中已查明了关键的远程代码执行脆弱性,对Lext.js等主要网络框架构成直接威胁。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这不是理论风险;脆弱性是在一个现场项目中积极查明的,强调其可立即利用。 安全问题在多个咨询意见下正式跟踪:GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE2025-66478。 脆弱性的核心机制使恶意行为者有可能通过利用消毒过程控制服务器,这是反应服务器组成部分如何传送数据的一个基本部分。 作为回应,Vercel启动了自动补丁工作,提出拉动请求,更新受影响的反应软件包和Next.js软件包,以保障版本的安全,尽管他们提醒说这些自动化解决方案可能不全面,需要人工审查。 这些发现给使用反应服务器部件的发展团队,特别是下Js生态系统内的开发团队造成巨大压力,迫使它们紧急施用补丁。 广泛采用这些技术意味着潜在的攻击表面是巨大的,影响到无数的生产应用。 虽然正在部署自动补救工具,但最终由开发商和组织负责核实修复的完整性并确保其部署安全,因为不修补可能导致严重的服务器妥协。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: GitHub Issues, cybersecurity, vulnerability, react, nextjs, vercel
- **Credibility**: unverified
- **Published**: 2026-03-31 19:46:51
- **ID**: 43852
- **URL**: https://whisperx.ai/zh/intel/43852