React團隊今天凌晨緊急發(fā)布了一個最高危漏洞。如果你項目里使用了React的“服務(wù)器組件”（RSC）功能，攻擊者可以直接利用這個漏洞，在你的服務(wù)器上執(zhí)行任意代碼。

這個高危漏洞（CVE-2025-55182），CVSS評分高達(dá)10.0分。是最高級的漏洞！！！

圖片

?? 什么是“服務(wù)器組件”（React Server Component）？

簡單說，這是一種讓React組件在服務(wù)器端提前渲染的技術(shù)。它能讓頁面加載更快，但這次出問題的正是處理“服務(wù)端-客戶端”通信的底層代碼。

圖片

?? 漏洞影響誰？

幾乎所有使用React服務(wù)器組件的項目都受影響，包括：

• 使用 Next.js 13.3+ 或 14.x、15.x 的項目
• 使用 React Router 并開啟了RSC功能的項目
• 使用 Waku、Vite RSC插件等框架的項目

圖片

?? 必須立即行動

官方已發(fā)布修復(fù)版本，你需要升級相關(guān)依賴：

Next.js項目（大多數(shù)人的情況）：

# 根據(jù)你的主版本號選擇執(zhí)行
npm install next@14.2.35    # Next.js 14 用戶
npm install next@15.0.7     # Next.js 15.0.x 用戶
npm install next@15.1.11    # Next.js 15.1.x 用戶
# ...（其他版本見上面詳細(xì)列表）

直接使用RSC包的項目：

npm install react@latest react-dom@latest
npm install react-server-dom-webpack@latest
# 或你正在使用的其他 react-server-dom-* 包

? 時間線

• 11月29日 - 漏洞被報告
• 12月3日 - 修復(fù)版本發(fā)布
• 現(xiàn)在 - 你需要立即升級

?? 特別提醒

即使你的云服務(wù)商說“已提供防護”，也必須自己升級依賴。這個漏洞的危險程度相當(dāng)于讓黑客能遠(yuǎn)程給你的服務(wù)器裝木馬，不要抱有僥幸心理。

?? 現(xiàn)在該做什么？

1. 打開你的項目
2. 檢查 package.json 里是否有相關(guān)依賴
3. 運行對應(yīng)的升級命令
4. 重新部署

今晚就處理，別拖到明天。