紧急预警！React Server Components 及 Next.js 高危远程代码执行漏洞（CVE-2025-55182/CVE-2025-66478）修复指南

近期 React Server Components（RSC）核心架构及使用 App Router 的 Next.js 应用被集中披露高危远程代码执行漏洞（RCE），漏洞编号分别为 CVE-2025-55182 与 CVE-2025-66478。未经身份验证的攻击者可通过特制 HTTP 请求触发漏洞，实现服务器端任意代码执行，进而完全控制目标服务器，对业务数据安全与服务可用性造成致命威胁。目前漏洞细节及 POC 已公开，攻击门槛极低，React、Next.js 开发者需立即开展自查与修复工作。本文将详细拆解漏洞原理、影响范围，并提供分场景的一站式漏洞修复方案，助力快速规避风险。

一、漏洞核心原理剖析

React Server Components（RSC）是 React 核心团队推出的新型架构，旨在通过混合渲染模式提升应用性能，广泛应用于各类中大型前端项目。此次 CVE-2025-55182 漏洞的根源在于 React 框架对服务器函数端点接收的请求负载进行解码与反序列化处理时，存在关键安全缺陷——攻击者可构造恶意请求数据，利用该缺陷绕过解析校验，在服务器端执行任意代码。

而关联漏洞 CVE-2025-66478 则专门影响使用 App Router 的 Next.js 应用，其本质是 Next.js 对 React Server Components 相关依赖的集成存在安全适配问题，导致同样面临远程代码执行风险。两个漏洞均无需攻击者获取身份验证权限，攻击路径直接且危害极大，一旦被利用可能导致业务数据泄露、服务瘫痪甚至服务器被劫持。

二、漏洞影响范围明细

（一）React 及相关依赖受影响版本

（二）Next.js 受影响版本

• 14.3.0-canary.77 ≤ Next.js ＜ 15.0.5

• 15.1.0 ≤ Next.js ＜ 15.1.9

• 15.2.0 ≤ Next.js ＜ 15.2.6

• 15.3.0 ≤ Next.js ＜ 15.3.6

• 15.4.0 ≤ Next.js ＜ 15.4.8

• 15.5.0 ≤ Next.js ＜ 15.5.7

• 16.0.0 ≤ Next.js ＜ 16.0.7

三、安全版本清单（优先升级目标）

为彻底修复漏洞，官方已发布针对性安全补丁，各依赖的安全升级目标如下：

• React：≥19.0.1、≥19.1.2、≥19.2.1

• React DOM：≥19.0.1、≥19.1.2、≥19.2.1

• react-server-dom-parcel（npm）：≥19.0.1、≥19.1.2、≥19.2.1

• react-server-dom-turbopack（npm）：≥19.0.1、≥19.1.2、≥19.2.1

• react-server-dom-webpack（npm）：≥19.0.1、≥19.1.2、≥19.2.1

• Next.js：≥15.0.5、≥15.1.9、≥15.2.6、≥15.3.6、≥15.4.8、≥15.5.7、≥16.0.7

四、分场景修复操作指南

（一）Next.js 用户（最核心受影响群体）

1. 稳定版用户：根据当前使用的版本系列，通过 npm 依赖升级 命令直接升级至对应安全版本：

# 15.0.x 系列
npm install next@15.0.5
# 15.1.x 系列
npm install next@15.1.9
# 15.2.x 系列
npm install next@15.2.6
# 15.3.x 系列
npm install next@15.3.6
# 15.4.x 系列
npm install next@15.4.8
# 15.5.x 系列
npm install next@15.5.7
# 16.0.x 系列
npm install next@16.0.7

2. Canary 版用户：若使用 14.3.0-canary.77 及以上测试版本，需降级至 14.x 稳定版：

npm install next@14

3. 验证方式：升级后可通过 npm list next 命令查看当前版本是否符合安全要求。

（二）React 生态其他用户

1. React Router 用户（使用不稳定 RSC API）：

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

2. Expo 用户：

npm install react@latest react-dom@latest react-server-dom-webpack@latest

3. Redwood SDK 用户：

npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest

详细迁移指南可参考 Redwood 官方文档：https://docs.rwsdk.com/migrating/

4. Waku 用户：

npm install react@latest react-dom@latest react-server-dom-webpack@latest

5. 独立使用 RSC 插件用户：

# @vitejs/plugin-rsc 用户
npm install @vitejs/plugin-rsc@latest
# react-server-dom-parcel 用户
npm install react@latest react-dom@latest react-server-dom-parcel@latest
# react-server-dom-turbopack 用户
npm install react@latest react-dom@latest react-server-dom-turbopack@latest

（三）通用注意事项

1. 升级前必须做好数据备份：包括项目代码、配置文件、数据库数据等，避免 npm 依赖升级 过程中出现依赖冲突导致业务异常。

2. 升级后需进行功能回归测试：重点验证服务器函数、渲染逻辑等核心模块是否正常工作，确保 漏洞修复 不影响业务可用性。

3. 若暂时无法升级：可临时通过 Web 应用防火墙拦截恶意请求（参考下文腾讯云安全解决方案），但仅为过渡方案，最终需完成版本升级。

五、腾讯云安全防护支持

为进一步降低漏洞攻击风险，腾讯云已推出全方位安全防护方案，覆盖从检测到防护的全链路：

1. 腾讯T-Sec 容器安全：支持容器环境中该漏洞的快速检测，精准识别受影响实例；

2. 腾讯T-Sec 主机安全：实时监测服务器是否存在漏洞暴露风险，提供一键修复建议；

3. 腾讯T-Sec Web应用防火墙：拦截针对漏洞的恶意HTTP请求，阻断攻击路径；

4. 腾讯T-Sec 云防火墙：从网络层防护，限制非法访问，降低漏洞利用概率；

5. 腾讯暴露面管理服务（CTEM）：全面扫描业务暴露面，提前发现未修复的漏洞节点。

六、漏洞参考与延伸阅读

• React 官方漏洞通告：https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

• React GitHub 安全 advisory：https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r

• Next.js 官方漏洞通告：https://nextjs.org/blog/CVE-2025-66478

• Next.js GitHub 安全 advisory：https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

总结

此次 React Server Components（RSC） 及 Next.js 高危漏洞危害等级高、影响范围广，且 POC 已公开，攻击者极可能发起批量攻击。建议相关开发者在 24 小时内完成版本自查，按照本文分场景 漏洞修复 指南完成 npm 依赖升级，并结合腾讯云安全产品构建“版本修复+安全防护”双重保障。漏洞修复的核心是升级至官方指定安全版本，切勿依赖临时规避方案。若在修复过程中遇到依赖冲突、功能异常等问题，可参考官方文档或联系技术支持获取帮助，确保业务 前端安全 与 服务器安全 稳定运行。