紧急！React 19 RSC、RSF 存在严重漏洞，官方发布紧急修复版本！

前言

React 官方紧急发布：Server Components存在严重RCE漏洞，攻击者可远程执行任意代码！

官方通关

官方通告

请立即升级安全版本！

正文

12月3日，React 团队正式公布了一个严重的安全漏洞（代号 CVE-2025-55182），

影响 React 19 系列的 Server Components 和 Server Functions，攻击者可通过构造恶意 HTTP 请求，针对 Server Function 端点，利用 React 在服务端反序列化 payload 时的缺陷实现任意代码执行。

即使你的应用没有显式实现 Server Functions，只要启用了 RSC，就可能受影响。

立即修复方式 React官方已在以下版本中修复：

• react@19.0.1、19.1.2、19.2.1（以及react-dom等配套包）

推荐直接升级到对应分支的最新补丁版，例如：

npm install react@19.2.1 react-dom@19.2.1

针对不同框架的升级命令，官方博客已提供详细指引（Next.js降级canary或升级到稳定补丁版、React Router升级相关server-dom包等）。

受影响版本 React 19.0.0、19.1.0、19.1.1、19.2.0 中以下核心包存在漏洞：

• react
• react-dom
• react-server-dom-webpack
• react-server-dom-turbopack
• react-server-dom-parcel

等所有RSC相关实现。

不受影响的情况

• 纯客户端应用（不涉及服务端渲染）
• 未使用任何支持RSC的框架/打包工具（如Next.js、Waku、React Router不稳定RSC API等）

受影响的流行框架/工具

• Next.js（下游CVE-2025-66478）
• React Router（不稳定RSC API）
• Waku
• Vite RSC插件
• Parcel RSC
• RedwoodJS SDK
• Expo 等

临时缓解措施 Vercel、Cloudflare等托管商已紧急部署WAF规则进行拦截，但官方强调不能长期依赖，必须尽快完成代码层升级。

此漏洞影响面极广，尤其 Next.js 用户几乎全军覆没。建议所有使用 React 19+ RSC 的生产项目立即检查依赖并升级，避免成为攻击目标。

最后

React RSC 严重 RCE 漏洞已公开，所有相关项目务必尽快完成升级！

今天的分享就这些了，感谢大家的阅读，如果文章中存在错误的地方欢迎指正！