近日，Meta的React核心团队与Vercel的Next.js团队联合发布公告，披露了两个最高危险等级（Critical）的安全漏洞：CVE-2025-55182（React）和CVE-2025-66478 （Next.js），其CVSS评分均达到10分满分，在一定条件下，攻击者可利用漏洞执行任意代码。同时，阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。

由于React、Next.js等框架已经成为诸多开发人员的首选方案，数百万网站和应用程序都基于该框架构建，而攻击者可能利用该漏洞入侵服务器，可能会对业务造成不可挽回的损失，阿里云安全建议所有受影响客户立即进行修复。

漏洞情况

React Server Components（RSC）是React 19新引入的一种组件类型，广泛用于Next.js等框架中进行渲染服务。在CVE-2025-55182中，由于在解析客户端提交的表单时缺乏校验，攻击者可构造恶意请求调用相关内置模块，最终导致未授权代码执行。同时由于RSC已被 Next.js等主流框架中采用，例如 Next.js 15.x、16.x等版本中引用了受影响的React组件包，因此同样受影响，其对应CVE号为CVE-2025-66478。

范围影响

针对React组件，其受影响版本如下：

react-server-dom-parcel 19.0、19.1.0、19.1.1、19.2.0

react-server-dom-turbopack 19.0、19.1.0、19.1.1、19.2.0

react-server-dom-webpack 19.0、19.1.0、19.1.1、19.2.0

针对Next.js，其受影响范围如下：

14.3.0-canary.77 <= Next < 15.0.5

15.1.0 <= Next < 15.1.9

15.2.0 <= Next < 15.2.6

15.3.0 <= Next < 15.3.6

15.4.0 <= Next < 15.4.8

15.5.0 <= Next < 15.5.7

16.0.0 <= Next < 16.0.7

阿里云快速防护指南：三层联动防护

针对CVE-2025-55182和CVE-2025-66478漏洞，阿里云安全快速响应，已全面更新各安全产品规则，实现主机层漏洞扫描、应用层和网络层漏洞防护与阻断的全面防御，阿里云安全也建议使用React及Next.js框架的用户尽快采取安全措施缓解漏洞攻击。

云安全中心：主机层漏洞扫描与发现

用户开启云安全中心后，可使用【漏洞管理-应用漏洞】或者【主机防护-无代理检测】为ECS主机做该漏洞的扫描检测，无代理检测能力支持在不安装客户端的情况下，对云服务ECS进行安全风险评估，此过程对服务器性能几乎无影响。

用户也可使用【镜像安全扫描】功能模块，为容器镜像做该漏洞的扫描检测，镜像安全扫描提供了全面的安全检测和管理能力，可快速帮助客户发现镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险等。

检测出此漏洞后，推荐您使用Web应用防火墙和云防火墙做拦截防护，同时尽快升级业务组件。

用户可按如下步骤完成检测防御：

• 用户可通过【云安全中心→风险治理→漏洞管理】一键开启应用漏洞扫描，开启后将对云安全中心纳管主机进行应用漏洞扫描。（注：已支持软件成分分析和远程扫描方式检测识别CVE-2025-66478漏洞）

• 用户可通过【云安全中心→主机防护→无代理检测】一键开启无代理漏洞扫描，开启后将对阿里云主机进行无代理方式的漏洞扫描。（注：已支持软件成分分析方式检测识别CVE-2025-66478和CVE-2025-55182漏洞）

• 用户也可通过【云安全中心→容器防护→镜像安全扫描】一键开启容器镜像漏洞扫描，开启后将对容器镜像进行漏洞扫描。（注：已支持软件成分分析方式检测识别CVE-2025-66478和CVE-2025-55182漏洞）

Web应用防火墙：应用层一键拦截

阿里云Web应用防火墙已上线针对CVE-2025-55182和CVE-2025-66478漏洞的防护规则，若您当前已开启Web核心防护规则的检测引擎自动更新，WAF将默认防护此漏洞。

若您当前未开启自动更新，可按如下步骤进行检测防御：

• 如使用Web应用防火墙3.0新版Web核心防护规则，可手动开启规则901017，并将规则动作调整为拦截。

• 如使用Web应用防火墙3.0旧版Web核心防护规则及Web应用防火墙2.0，需要将规则901017添加到对应生效的规则组中，并将规则动作调整为拦截。

云防火墙：网络层快速拦截

云防火墙已上线针对CVE-2025-55182和CVE-2025-66478漏洞的防护规则，若您的防护引擎运行模式为拦截模式云防火墙会默认针对该漏洞进行拦截防护。

用户可按如下步骤完成检测防御：

• 您可在IPS配置-互联网边界/VPC边界虚拟补丁模块查看到该防护规则，规则ID41000485。

• 此外，建议您开启互联网新增资产自动保护开关，对您新增的互联网暴露资产自动开启云防火墙保护来防护该漏洞。

安全管家：安全专家专注守候

针对已购买阿里云安全管家托管服务（MSS）的用户，阿里云可提供以下支持：

资产识别：自动发现使用受影响React或Next.js版本的应用资产。

修复指导：快速及时提供精准升级建议及临时缓解措施（如WAF自定义规则）。

主动防御：联动云WAF与云防火墙，自动下发虚拟补丁，实时拦截攻击。

持续监控：7×24安全监测，及时发现并研判潜在威胁。

应急响应：快速介入安全事件，协助溯源分析与止血处置。

后续加固：输出风险评估报告，助力提升云上整体安全水位。

阿里云安全建议

修复方案

排查应用中是否引入了相关受影响的React组件以及相关框架（如Nextjs等），若存在，强烈推荐升级至安全版本。例如针对Next.js 框架用户，根据使用版本执行相关命令升级。

若使用Next.js 14.3.0-canary.77等及其之后的canary版本，则建议降低至Nextjs 14稳定版本。

npm install next@14

其它框架使用者可以参考https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components进行相关排查与升级。

缓解措施

使用各类安全防护产品（WAF、云防火墙等）阻断相关扫描与攻击。（注：该方案仅为缓解措施，若要根绝漏洞，请按照修复方案进行升级）

参考链接

1、https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

2、https://nextjs.org/blog/CVE-2025-66478

3、https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

4、https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r

5、https://avd.aliyun.com/detail?id=AVD-2025-66478

6、https://avd.aliyun.com/detail?id=AVD-2025-55182