## React Server Components의 치명적 RCE 취약점이 Next.js 및 기타 프레임워크 노출
在反应服务器部件中已查明了关键的远程代码执行脆弱性,对Lext.js等主要网络框架构成直接威胁。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这不是理论上的风险;脆弱性是在一个现场项目中发现的,强调其可立即利用性。 安全问题由GitHub安全咨询公司(GISA-9qr9-h5gf-34mp)正式跟踪,并分配了两个CVE:反应小组的CVe-2025-55182和Lext.js的C VE-2025-66478。 Vercel是Next.js的幕后公司,已启动自动补丁工作,提出拉动请求,更新受影响的反应软件包和下js软件包,以保障版本的安全。 然而,该公司明确警告说,不能保证其自动修复办法的全面性并可能存在错误,因此开发商有责任进行彻底审查。 这一发现引发对任何使用反应服务器部件的组织进行紧急检查,后者是服务器接收应用程序的核心现代结构。 虽然有补丁,但补救的道路需要人工核查。 脆弱性存在于一个基本协议中,如 " React Flight " 信号系统风险,有可能影响到基于这些流行框架的广泛应用和服务生态系统。 建议开发商立即进行更新,并咨询提供安保顾问以获得详细指导。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: GitHub Issues, cybersecurity, react, nextjs, vulnerability, web development
- **Credibility**: unverified
- **Published**: 2026-04-01 08:13:49
- **ID**: 44877
- **URL**: https://whisperx.ai/en/intel/44877