React RCE的RCE漏洞影响Next.js
受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(及个别 14 canary 版本)。受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
Cloudflare WAF 已部署修复并默认启用。
应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp
https://blog.cloudflare.com/waf-rules-react-vulnerability/ 打Dify一打一个准 水杉 发表于 2025-12-5 18:02
打Dify一打一个准
快收手吧,今天网络空间全都是react2shell的payload.jpg
专门用于打Dify打Payload已经传播很广了,随手试了几个,真随便打。
页:
[1]