🔴 另一些 RSC DoS 漏洞；请尽快更新。

- 此漏洞影响 Next.js 13-16 及其它使用了 React Server Side Components 的相关组件。
- 此漏洞不会导致 RCE。
- 对于 React，请更新到 19.0.4/19.1.5/19.2.4。
- 对于 Next.js，请参考 [1] 或 [2] 中的更新方案。
- Vercel [2] 及 Cloudflare [3] 已经发布针对此漏洞的服务端 WAF 规则。

CVE: CVE-2026-23864
CVSS: 7.5

1. react.dev/~
2. vercel.com/~
3. developers.cloudflare.com/~

thread: /4795
linksrc: https://t.me/abcthoughts/6821

#React #Nextjs

react.dev

Critical Security Vulnerability in React Server Components – React

The library for web and native user interfaces

#PSA: 一些新的 React DoS/源码泄露漏洞；请尽快更新。

- 如果上周已经就之前的 RCE 漏洞对 React 等组件进行了更新，本周依旧需要继续更新。
- 如果就此漏洞更新到了 React 19.0.2/19.1.3/19.2.2，也依旧需要继续更新，因为这些版本的修复不完整。
- 请参考 [2] 了解需要更新到的版本。
- React Server Side Components 相关；拒绝式服务攻击，以及服务端（服务端！）组件源码泄露。
- Next.js 13.3 至 14（含 13.3 及 14.x）也受此漏洞影响。
- react-router、waku 和几个其它 RSC 组件也受此漏洞影响。

CVE: CVE-2025-55184, CVE-2025-67779, CVE-2025-55183
CVSS: 最高者为 7.5

1. react.dev/~
2. react.dev/~

thread: /4791

#React #Nextjs

react.dev

Critical Security Vulnerability in React Server Components – React

The library for web and native user interfaces

#PSA: React RSC 的 RCE 漏洞，影响 Next.js 等，受影响用户请立即更新。

- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16（以及个别 14 canary 版本）。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题，可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React，则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。


CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)

1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~

#React #Nextjs

react.dev

Critical Security Vulnerability in React Server Components – React

The library for web and native user interfaces