近日，前端生态再次爆出高危漏洞—— React Server Components（RSC）远程代码执行漏洞CVE-2025-55182。由于React 和 Next.js 已成为行业事实标准，该漏洞迅速在全球范围内引发高度关注，多种框架、平台、AI 应用均受到波及。

这不仅是一个技术缺陷，更是一场影响全行业的软件供应链安全事件。

React Server Components（RSC）依赖一种称为 React Flight Protocol 的机制，用来在客户端和服务器之间传递结构化数据。当应用调用“服务器函数”（例如 Next.js Server Actions）时，客户端会把一组“数据块”（chunks）发送给服务器，由 React 在服务端进行解析。问题就出在服务器端对这些数据块的解析过程。

❗❗❗ React 在反序列化这些数据时，没有正确限制“哪些字段可被访问”，导致攻击者能够：

• 精心构造一个合法格式的请求

• 让React在解析过程中访问到对象原型链上的敏感属性

• 最终构造出可执行任意代码的函数对象

• 并在服务端自动执行

换句话说：

攻击者无需认证，

仅凭一个特制的HTTP 请求，

就可以让服务器执行任意系统命令。

这是典型的远程代码执行（RCE） 漏洞，也是安全领域中危害级别最高的风险。

影响范围广，横跨整个生态

只要项目满足以下任一条件，就可能受影响：

• 使用React 19.x 的 Server Components

• 使用Next.js App Router / Server Actions

  （默认开启）

• 使用依赖RSC 的其他框架

  （包括已确认受影响的 Dify）

更严重的是，许多组织并不知道自己的项目是否开启了Server Components —— 因为框架在升级过程中可能默认启用。

Next.js 为什么也会中招？

Next.js 在框架层中确实增加了一些保护机制，但本次漏洞发生在：

Next.js 验证请求之前的“反序列化阶段”

也就是说：

• 保护机制来不及生效

• RCE 已经在更早的阶段发生

• 即便是新建的Next.js 项目

  （ create-next-app ）也可能复现漏洞

因此，Next.js 也属于受影响生态的一部分。

典型的供应链级风险

这不是一个业务代码bug，而是：

• 所有使用React RSC协议的框架

  共同依赖的底层能力

• 同一缺陷会在不同产品、框架、工具链中

  反复出现

• 带来“牵一发动全身”的供应链传播效应

这就是为什么该漏洞会被定级为Critical（最高等级）。

一旦被利用，攻击者可以：

• 执行任意系统命令

• 控制服务器、数据库或主机权限

• 读取和修改敏感数据

• 植入后门

• 发起横向攻击

• 破坏业务连续性

此类攻击对政务、金融、AI 平台、SaaS 服务等行业影响尤为巨大。

这类漏洞是组织最希望避免的高危RCE。

React 官方已发布补丁，需将以下组件升级到安全版本：

建议立即执行：

1. 检查package.json、锁文件、构建产物

2. 升级到上述安全版本

3. 清理并重新安装依赖

4. 重启服务

5. 检查是否开启/使用了 Server Components

6. 审查是否误打包Node核心模块

（如child_process）

7. 查看近期日志是否有异常请求

从Log4j → XZ → 本次 React RSC，我们看到：

现代应用不是“代码写得好不好”

而是“整个依赖链是否安全”

组织需要的不是补丁，而是体系能力。

我们提供完整的软件供应链安全方案，覆盖需求、编码、构建、测试、发布全生命周期！

⭐特色能力1：实时全球漏洞更新

（分钟级同步）

系统自动聚合：

NVD、OSS-Sec、GitHub Advisory

• 国内情报（CNVD 等）

• React / Node.js / AI 生态专项监测

  
  

当RSC 漏洞刚披露时，系统即可：

• 自动识别受影响项目

• 匹配依赖版本

• 推送高危通知

该能力能让组织在混乱初期迅速响应。

⭐特色能力2：软件成分分析-

同源检测、漏洞可达性分析

• 同源检测：

  识别项目中的依赖是否与漏洞源代码一致，

  有无backport 修复，有无私有 fork 差异。

  
  

• 漏洞可达性分析结合调用链与数据流，判断：

• 该漏洞在系统中是否真的可被触发

• Server Components 是否在业务路径中使用

• SSR / Server Actions 是否暴露外部入口

⭐特色能力3：AI代码审计

• 多文件/跨函数上下文理解： 

  能够像人类审计员一样，跟踪跨越

  多个文件、组件的数据流向，理解

  全局上下文，而不是孤立地看单行代码。

• 配置环境感知：分析代码的配置

  （如config.js或环境变量），判断某些漏洞

  是否因配置关闭而处于“无效状态”。

• 智能修复建议（Fix Generation）： 

  不只是给通用建议，而是根据当前代码上下文，

  生成可直接 merge 的修复代码片段。

实战演示

没有复杂的配置，没有冗长的等待。

AI安服数字员工——安小龙的安全理念就是：简单、直接、有效。

直接用使用nuclei 对http://xxxx:8080/apps进行渗透。

一键获得渗透检测报告：

一键分析CVE-2025-55182 的漏洞详情 ：

实战总结

从 RSC/SSR 新型架构的供应链隐患，到“安小龙”的毫秒级实战打击，我们正在见证安全防御模式的质变。

未来的软件安全，不再是单纯依赖人力的“大海捞针”，而是AI 智能与自动化工具的深度协同。通过 AI 赋予代码审计“业务逻辑思考”与“可达性验证”能力，彻底告别无效误报；通过自动化情报网络与一键渗透引擎，在危机爆发的“黄金窗口期”抢先行动。

我们的目标很明确：让看不见的供应链黑盒变得透明，让复杂的漏洞修复变得简单，让安全成为每一行代码默认的“出厂设置”。

扫码申请试用

现代应用已不再是某个项目，而是一条复杂的生态链。

这次React RSC 漏洞再次证明：

• 框架越底层，风险越隐蔽

• 依赖越广泛，传播越迅速

• 软件供应链安全能力越关键

我们将持续为行业提供最及时的漏洞情报、最专业的供应链防护、最智能的代码审计能力，为组织构建安全、稳健、可信赖的数字基础设施。

⚠️ 本文仅用于技术交流与安全防御教学，请勿利用文中技术对未经授权的目标进行攻击，否则后果自负。