可在服务器上执行任意系统命令、读写任意文件,甚至完全接管服务。
漏洞编号:QVD-2025-46246,CVE-2025-55182 QVD-2025-46274,CVE-2025-66478
高危漏洞:可执行任意代码漏洞
漏洞描述:React Server Components多个远程代码执行漏洞
危害描述:攻击者可通过构造恶意表单请求,直接调用Node.js 内置模块,从而在服务器上执行任意系统命令、读写任意文件,甚至完全接管服务。
影响版本:
React Server 19.0.0
React Server 19.0.1 (注:部分早期补丁未完全覆盖)
React Server 19.1.*
React Server 19.2.0
只要服务器不是NPM直接运行,打包编译后由nginx代理运行的不受影响。
生产环境我想大家都是build后运行的静态对象吧!