最新 12 月 4 日消息，热门 JavaScript 框架 React 昨日发布官方公告，React Server Components 中存在一个未经身份验证的远程代码执行漏洞，建议开发者立即升级修补漏洞。

11 月 29 日，Lachlan Davidson 报告了 React 中的一个安全漏洞，该漏洞允许通过利用 React 解码发送到 React Server Function 端点的有效负载的方式来实现未经身份验证的远程代码执行。

React 官方表示，即使你的应用没有实现任何 React Server Function 端点，如果应用支持 React Server Components，它仍然可能存在漏洞。

此漏洞被披露为 CVE-2025-55182，并被评为 CVSS 10.0。React Server Functions 允许客户端调用服务器上的函数，React 将客户端的请求转换为 HTTP 请求，并将这些请求转发到服务器。在服务器上，React 将 HTTP 请求转换为函数调用，并将所需数据返回给客户端。未经身份验证的攻击者可以构造一个恶意的 HTTP 请求，发送到任何 Server Function 端点，当 React 反序列化该请求时，会在服务器上实现远程代码执行。

最新从公告获悉，此漏洞存在于 React 的以下版本中：19.0、19.1.0、19.1.1 和 19.2.0。官方在 19.0.1、19.1.2 和 19.2.1 版本中引入了修复，官方建议立即升级到已修复的版本。

如果应用的 React 代码不使用服务器，或者不使用支持 React Server Components 的框架、打包器或打包器插件，则应用不受此漏洞影响。

需要注意的是，一些 React 框架和打包工具有对等依赖或包含有漏洞的 React 包。受影响的 React 框架和打包工具包括：next、react-router、waku、@parcel / rsc、@vitejs / plugin-rsc 和 rwsdk。