【漏洞預警】Meta 旗下 React Server Components 存在重大資安漏洞 (CVE-2025-55182)
發布日期:2025.12.16
內容說明
轉發:台灣電腦網路危機處理暨協調中心(TWCERT/CC)
資安訊息警訊:TWCERTCC-200-202512-00000006
React 為 Meta 開發的開源 JavaScript 函式庫,用於建構使用者介面。 Meta 近日公告重大資安漏洞 CVE-2025-55182(CVSS 10.0), 指出 React Server Components 存在遠端程式碼執行(RCE)漏洞。
由於 React 在解析送至 React Server Function 端點的資料時存在安全弱點, 攻擊者無需身分驗證,即可透過特製有效負載執行任意程式碼。
影響平台
- react-server-dom-webpack:19.0、19.1.0、19.1.1、19.2.0
- react-server-dom-parcel:19.0、19.1.0、19.1.1、19.2.0
- react-server-dom-turbopack:19.0、19.1.0、19.1.1、19.2.0
受影響之 React 框架與打包工具包括: next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc、rwsdk
建議措施
請依官方公告進行修補:
React 官方安全公告