跳到主要內容區
  1. 首頁
  2. 最新消息

【情資分享/NASOC】伺服器元件的滿分漏洞CVE-2025-55182(React2Shell)

【情資分享/NASOC】伺服器元件的滿分漏洞 CVE-2025-55182 (React2Shell)

2025.12.10 發佈

在 12 月 3 日時,React 開發團隊公布伺服器元件的滿分漏洞 CVE-2025-55182 (React2Shell),並表示只要用戶的應用程式支援 React 伺服器元件就可能曝險。

iThome 新聞連結:
https://www.ithome.com.tw/news/172651

受影響版本及修補方式如下,詳細可參考官方部落格:

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Next.js:

框架/平台 受影響版本 指令參考
Next.js 15.0.x npm install next@15.0.5
15.1.x npm install next@15.1.9
15.2.x npm install next@15.2.6
15.3.x npm install next@15.3.6
15.4.x npm install next@15.4.8
15.5.x npm install next@15.5.7
16.0.x npm install next@16.0.7
14.3.0-canary.77 或更高 canary,請降級 14.x npm install next@14

其他框架/平台:

框架/平台 受影響版本 指令參考
React Router 若使用不穩定的 RSC API,查看 package.json 是否包含:
react、react-dom、react-server-dom-parcel、react-server-dom-webpack、@vitejs/plugin-rsc 		npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest
Expo 參考:
https://expo.dev/changelog/mitigating-critical-security-vulnerability-in-react-server-components
Redwood SDK 版本需 >= 1.0.0-alpha.0 npm install rwsdk@latest
npm install react@latest react-dom@latest react-server-dom-webpack@latest
Waku npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest
@vitejs/plugin-rsc npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

更新框架/平台後,請更新核心套件:

核心 指令參考
react-server-dom-parcel npm install react@latest react-dom@latest react-server-dom-parcel@latest
react-server-dom-turbopack npm install react@latest react-dom@latest react-server-dom-turbopack@latest
react-server-dom-webpack npm install react@latest react-dom@latest react-server-dom-webpack@latest
瀏覽數:
加到我的最愛
友善列印
登入成功