12月4日，React 團隊在發現影響現代 React 生態系統的災難性漏洞后發布了緊急安全公告。該漏洞被評定為最高嚴重等級，允許未經認證的攻擊者在運行 React 服務端組件（RSC）的服務器上執行任意代碼。

該漏洞由安全研究員 Lachlan Davidson 發現，針對客戶端與服務端之間的通信層。該漏洞被分配編號 CVE-2025-55182，CVSS 評分為 10.0 分——該評分僅用于最嚴重的安全漏洞，即那些易于利用、無需認證且可導致系統完全淪陷的漏洞。

威脅范圍尤其令人擔憂，因為它超出了主動使用場景。開發者可能認為只要沒有主動使用服務端函數就是安全的，但 React 團隊警告稱："即使您的應用沒有實現任何 React 服務端函數端點，只要支持 React 服務端組件，就可能仍然存在風險。"

漏洞原理：反序列化過程缺陷

漏洞存在于反序列化過程中——即 React 如何將客戶端發送的數據轉換回服務端可執行操作。在正常操作下，React 將客戶端請求轉換為 HTTP 請求，服務端再將其轉換為函數調用。但該解碼過程中的缺陷為惡意注入打開了大門。

"未經認證的攻擊者可向任何服務端函數端點構造惡意 HTTP 請求，當被 React 反序列化時，即可實現服務端遠程代碼執行。"這使得攻擊者能繞過安全控制，直接在主機服務器上運行命令。

影響范圍：核心包與主流框架

問題根源在于特定底層包：react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。受影響版本涵蓋 19.0 至 19.2.0。由于這些包是基礎組件，漏洞會級聯影響主要框架和打包工具。公告指出："以下 React 框架和打包工具受到影響：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。"

修復方案：立即升級

React 團隊和框架維護者已發布補丁，必須立即升級以確保應用安全：

(1) React 核心包：19.0.1、19.1.2 和 19.2.1 版本已修復

(2) Next.js 用戶：必須立即升級到對應發布線的最新修補版本：

• v15.0.x → 安裝 next@15.0.5
• v15.1.x → 安裝 next@15.1.9
• v16.0.x → 安裝 next@16.0.7

注意：Next.js 14.3.0-canary.77 或更高版本用戶應降級至 next@14

(3) React Router 及其他框架：在 React Router、Waku 或 Redwood SDK 中使用不穩定 RSC API 的用戶，應立即通過 npm install 將 react、react-dom 及其特定 server-dom 包（webpack/parcel）更新至最新版本。