✨ 碎片收藏 / 资讯文档 / 网站工具 / GitHub 项目 / Bing 壁纸
#PSA: 一些新的 React DoS/源码泄露漏洞;请尽快更新。
- 如果上周已经就之前的 RCE 漏洞对 React 等组件进行了更新,本周依旧需要继续更新。
- 如果就此漏洞更新到了 React 19.0.2/19.1.3/19.2.2,也依旧需要继续更新,因为这些版本的修复不完整。
- 请参考 [2] 了解需要更新到的版本。
- React Server Side Components 相关;拒绝式服务攻击,以及服务端(服务端!)组件源码泄露。
- Next.js 13.3 至 14(含 13.3 及 14.x)也受此漏洞影响。
- react-router、waku 和几个其它 RSC 组件也受此漏洞影响。
CVE: CVE-2025-55184, CVE-2025-67779, CVE-2025-55183
CVSS: 最高者为 7.5
1. react.dev/~
2. react.dev/~
thread: /4791
#React #Nextjs
- 如果上周已经就之前的 RCE 漏洞对 React 等组件进行了更新,本周依旧需要继续更新。
- 如果就此漏洞更新到了 React 19.0.2/19.1.3/19.2.2,也依旧需要继续更新,因为这些版本的修复不完整。
- 请参考 [2] 了解需要更新到的版本。
- React Server Side Components 相关;拒绝式服务攻击,以及服务端(服务端!)组件源码泄露。
- Next.js 13.3 至 14(含 13.3 及 14.x)也受此漏洞影响。
- react-router、waku 和几个其它 RSC 组件也受此漏洞影响。
CVE: CVE-2025-55184, CVE-2025-67779, CVE-2025-55183
CVSS: 最高者为 7.5
1. react.dev/~
2. react.dev/~
thread: /4791
#React #Nextjs
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
#PSA: React RSC 的 RCE 漏洞,影响 Next.js 等,受影响用户请立即更新。
- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)
1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~
#React #Nextjs
- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)
1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~
#React #Nextjs
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
#PSA: debug、chalk 等 npm 包被骇:请检查受影响版本是否被使用。
- Qix- 是终端字符处理方面一些著名 npm 包的开发者,维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。
- 开发者被 2FA 恢复验证邮件钓鱼,使得骇客得以访问开发者的 npm 账号。
- 目前有 18 个包确认被注入恶意代码;截至现时,已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。
- (ChatGPT 称)恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址,使用户的付款等操作的接收者变为骇客提供的地址。
gh:debug-js/debug#1005
seealso: HackerNews:45169657
linksrc: https://t.me/bupt_moe/2516
#npm #security
- Qix- 是终端字符处理方面一些著名 npm 包的开发者,维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。
- 开发者被 2FA 恢复验证邮件钓鱼,使得骇客得以访问开发者的 npm 账号。
- 目前有 18 个包确认被注入恶意代码;截至现时,已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。
- (ChatGPT 称)恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址,使用户的付款等操作的接收者变为骇客提供的地址。
gh:debug-js/debug#1005
seealso: HackerNews:45169657
linksrc: https://t.me/bupt_moe/2516
#npm #security
#PSA: sudo 本地权限提升漏洞。
请升级至 1.9.17p1 版本;1.9.14 (不含)之前版本不受影响。
Affected: [1.9.14, 1.9.17]
Fixed-On: 1.9.17p1
CVE: CVE-2025-32463
CVSS: 9.3 (NIST) / 7.8 (SUSE)
- https://www.sudo.ws/security/advisories/chroot_bug/
- https://nvd.nist.gov/vuln/detail/CVE-2025-32463
#CVE #sudo
请升级至 1.9.17p1 版本;1.9.14 (不含)之前版本不受影响。
Affected: [1.9.14, 1.9.17]
Fixed-On: 1.9.17p1
CVE: CVE-2025-32463
CVSS: 9.3 (NIST) / 7.8 (SUSE)
- https://www.sudo.ws/security/advisories/chroot_bug/
- https://nvd.nist.gov/vuln/detail/CVE-2025-32463
#CVE #sudo
