江蘇
關(guān)鍵詞
漏洞
在修復(fù)關(guān)鍵遠程代碼執(zhí)行(RCE)漏洞不到一周后,React 團隊又披露了影響 React Server Components(RSC)的三個新增安全缺陷。安全研究人員在嘗試繞過此前"React2Shell"漏洞緩解措施時發(fā)現(xiàn)了這些新問題。
漏洞風險分析
雖然原始 RCE 補丁仍然有效,但新發(fā)現(xiàn)的漏洞引入了拒絕服務(wù)(DoS)和服務(wù)器端源代碼未授權(quán)暴露的風險。React 團隊強調(diào),此前發(fā)布的更新(19.0.2、19.1.3 和 19.2.2 版本)包含不完整修復(fù),需要立即進行第二次升級。
其中最嚴重的高危漏洞涉及拒絕服務(wù)攻擊向量。研究人員發(fā)現(xiàn),向 Server Functions 端點發(fā)送惡意 HTTP 請求可觸發(fā) React 反序列化過程中的無限循環(huán),導(dǎo)致服務(wù)器進程掛起并耗盡可用 CPU 資源,最終使應(yīng)用程序下線。
漏洞詳情與影響范圍
另一個中危漏洞允許攻擊者操縱 HTTP 請求泄露 Server Functions 的源代碼。雖然運行時密鑰(如環(huán)境變量)仍保持安全,但函數(shù)內(nèi)任何硬編碼密鑰或邏輯都可能被暴露。
漏洞追蹤信息如下:
CVE 編號
漏洞類型
嚴重等級
CVSS 評分
CVE-2025-55184
拒絕服務(wù)
高危
7.5
CVE-2025-67779
拒絕服務(wù)(補丁繞過)
高危
7.5
CVE-2025-55183
源代碼暴露
中危
5.3
受影響版本與修復(fù)方案
這些漏洞影響 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 軟件包。使用 Next.js、Waku 和 React Router 等框架的用戶可能受到影響。
本周早些時候發(fā)布的初始補丁并不完整。如果您當前運行的是 19.0.2、19.1.3 或 19.2.2 版本,仍可能遭受 DoS 攻擊(CVE-2025-67779)。開發(fā)者必須立即升級至以下"安全"版本:
- 19.0.x 分支
:升級至19.0.3
- 19.1.x 分支
:升級至19.1.4
- 19.2.x 分支
:升級至19.2.3
React 團隊指出,在高調(diào)披露漏洞后通常會發(fā)現(xiàn)后續(xù)漏洞,這與"Log4Shell"事件類似,社區(qū)調(diào)查往往會發(fā)現(xiàn)相鄰缺陷。這些漏洞的發(fā)現(xiàn)歸功于研究人員 Andrew MacPherson、RyotaK 和 Shinsaku Nomura。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
