React RCE的RCE漏洞影响Next.js

yagamil · 发表于 3 天前

欢迎注册论坛，享受更多奶昔会员权益！

您需要登录才可以下载或查看，没有账号？注册

×

受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16（及个别 14 canary 版本）。
受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。 [1][2]
React Server DOM 的反序列化逻辑存在问题，可能导致远程代码执行 (RCE) 漏洞。
Cloudflare WAF 已部署修复并默认启用。
应用程序如果只在客户端使用 React 而不涉及服务端 React，则不受影响。
react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。

https://react.dev/blog/2025/12/0 ... t-server-components
https://github.com/vercel/next.j ... GHSA-9qr9-h5gf-34mp
https://blog.cloudflare.com/waf-rules-react-vulnerability/

水杉 · 发表于前天 18:02

打Dify一打一个准

amoy · 发表于昨天 01:06

水杉发表于 2025-12-5 18:02
打Dify一打一个准

快收手吧，今天网络空间全都是react2shell的payload.jpg

Yuri · 发表于昨天 01:07

专门用于打Dify打Payload已经传播很广了，随手试了几个，真随便打。

[安全] React RCE的RCE漏洞影响Next.js

欢迎注册论坛，享受更多奶昔会员权益！

浏览过的版块

相关网站

站内导航

站务支持