据最新观测，随着React框架高危漏洞影响范围不断扩大，为最大范围守护云上安全，阿里云针对暂未开启任何安全防护措施的用户，限时免费相关安全漏洞检测及利用阻断产品，守护用户平稳度过漏洞高危期。

请在开启相关产品能力前，先领取对应品类免费额度，避免产生费用。

免费产品领取路径：即刻登录阿里云官网，顶部导航栏【权益中心】点击【免费试用】，选择安全类产品对应品类，点击【立即试用】领取对应品类免费额度。

漏洞利用情况观测

自12月5日真实POC被公开后，阿里云安全团队监控到黑产团伙已经通过该漏洞开始进行批量化的入侵利用，攻击行为主要为：执行id、whoami、curl，读取环境变量，及写入木马挖矿。

在最新的入侵利用观测中，大模型应用开发平台成为黑灰产团伙的主要攻击对象。

漏洞影响范围

针对React组件，其受影响版本如下：

react-server-dom-parcel 19.0、19.1.0、19.1.1、19.2.0

react-server-dom-turbopack 19.0、19.1.0、19.1.1、19.2.0

react-server-dom-webpack 19.0、19.1.0、19.1.1、19.2.0

针对Next.js，其受影响范围如下：

14.3.0-canary.77 <= Next < 15.0.5

15.1.0 <= Next < 15.1.9

15.2.0 <= Next < 15.2.6

15.3.0 <= Next < 15.3.6

15.4.0 <= Next < 15.4.8

15.5.0 <= Next < 15.5.7

16.0.0 <= Next < 16.0.7

请用户尽快开启自查及修复工作。

阿里云安全产品免费防护

阿里云已更新针对CVE-2025-55182和CVE-2025-66478漏洞的各安全产品规则，实现主机层、应用层和网络层对漏洞的全面防御。同时，阿里云安全强烈建议所有受影响用户立刻进行漏洞修复，从源头降低漏洞风险。

云安全中心：基础设施层漏洞扫描与发现

快速定位云上资产中，是否存在该漏洞及被攻击风险，最大限度收敛攻击面。

【免费政策 1】
漏洞检测，云安全中心免费版提供CVE-2025-66478漏洞检测；云安全中心无代理检测能力支持全面的主机、快照和镜像资产的2个漏洞的离线检测能力，不影响线上运行环境，为所有用户提供价值 100 元的 500GB 无代理检测能力的扫描资源包。

【开启流程】
登录-云安全中心控制台，点击【风险治理】、点击【漏洞管理】、点击【应急漏洞】后，选择《Next.js React Server Components 远程代码执行漏洞（CVE-2025-66478）【远程扫描】》，点击【立即检测】，排查资产中是否存在此漏洞威胁。
登录-云安全中心控制台，点击开通【无代理检测】后付费功能开关、点击【主机防护】、点击【无代理检测】，在主机、快照、镜像页面下点击【立即检测】。

【免费政策 2】
入侵检测，针对CVE-2025-66478、CVE-2025-55182 漏洞利用行为的 4 类告警检测能力，在免费版本中提供1个月，开通免费版用户即可使用相关能力。

【开启流程】
登录-云安全中心控制台、点击【检测响应】、点击【安全告警】、关注【蠕虫病毒命令】、【可疑编码命令】、【linux可疑命令执行】、【Web应用创建异常子进程】此 4 类告警，确认是否已存在被此漏洞利用攻击。

【注意事项】

需在资产中心菜单确认，主机资产中的云安全中心客户端状态为绿色在线图标。

非阿里云主机需先安装云安全中心客户端，点击【功能设置】，点击【客户端】，点击【安装命令】，选择对应的安装命令至非阿里云主机进行安装。

Web应用防火墙：高风险区漏洞检测及拦截
使用Web应用防火墙，实现应用层默认防护此漏洞，阻断被攻击路径。

【免费政策】

针对首次使用该产品的阿里云用户，提供10000 SeCU资源包（价值495元）产品免费试用额度。

【开启流程】

开通Web应用防火墙3.0按量付费版本，在【接入管理】中将需要防护的域名、云产品实例（如ALB等）等资产接入Web应用防火墙进行防护。

【注意事项】

资产接入Web应用防火墙后，将默认开启针对该漏洞的防护和规则自动更新。

如您之前修改过Web应用防火墙的默认配置，请确认Web核心防护规则901017处于开启和拦截状态。

云防火墙：网络层漏洞检测及拦截
使用云防火墙进行网络层针对该漏洞进行拦截防护。

【免费政策】

针对首次使用该产品的阿里云用户，提供500元产品免费试用额度。

【开启流程】

开通云防火墙按量付费2.0版本，在【防火墙开关】中将需要防护资产（如EIP等）接入云防火墙进行防护，建议同步开启“新增资产自动保护”功能。

【注意事项】

资产接入云防火墙后将默认开启针对该漏洞的防护和规则自动更新。

如您之前修改过云防火墙的默认配置，请确认“IPS配置-互联网边界/VPC边界-虚拟补丁”模块中的规则41000485处于开启和拦截状态。

云防火墙暂不支持入向的加密流量检测（如HTTPS），如您需要防护的流量为HTTPS，请接入Web应用防火墙进行防护。

用户提醒：免费权益使用完毕，如没有后续需求，请及时释放产品实例，避免产生费用。

阿里云安全建议

【修复方案】

排查应用中是否引入了相关受影响的React组件以及相关框架（如Nextjs等），若存在，强烈推荐升级至安全版本。例如针对Next.js 框架用户，根据使用版本执行相关命令升级。

npm install next@15.0.5 # for 15.0.x
npm install next@15.1.9 # for 15.1.x
npm install next@15.2.6 # for 15.2.x
npm install next@15.3.6 # for 15.3.x
npm install next@15.4.8 # for 15.4.x
npm install next@15.5.7 # for 15.5.x
npm install next@16.0.7 # for 16.0.x

若使用Next.js 14.3.0-canary.77等及其之后的canary版本，则建议降低至Nextjs 14稳定版本。

npm install next@14

其它框架使用者可以参考https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components进行相关排查与升级。

【缓解措施】

使用各类安全防护产品（WAF、云防火墙等）阻断相关扫描与攻击。（注：该方案仅为缓解措施，若要根绝漏洞，请按照修复方案进行升级）

【参考链接】

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

https://nextjs.org/blog/CVE-2025-66478

https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r

https://avd.aliyun.com/detail?id=AVD-2025-66478

https://avd.aliyun.com/detail?id=AVD-2025-55182

最后再次强调，阿里云安全强烈建议所有受影响用户立刻进行升级存在漏洞版本到最新版。