上周刚追完 10 级补丁,以为能喘口气了?还不行。
12 月 12 日,React 官方确认,研究人员在验证上周补丁时,竟又在 React Server Components(RSC)里发现了两处新漏洞。
过去一周,React2Shell 漏洞的余威仍在:服务器被劫持挖矿、云厂商紧急封禁、甚至引发 ;为了把风险压下去,Vercel 甚至在一个周末就付出了 75 万美元的漏洞赏金与应急处置成本。一次前端框架的漏洞,直接打穿了整个技术栈。React 官方连续发布紧急通告,反复强调“请立即升级”,短时间内已经是第二次大规模补丁更新。
这次披露的两个漏洞分别是:高危 DoS(拒绝服务)CVE-2025-55184,单个请求即可导致服务器崩溃;以及中危源码泄露 CVE-2025-55183,可能泄露 React Server Components 的源代码。
一个 React 漏洞,撼动全球 Web
过去一周,一个被称为 React2Shell 的漏洞席卷了整个互联网行业。之所以引发如此级别的震荡,根本原因只有一个:React 的地位太重要了,它几乎是现代 Web 的“默认底座”。
从 Meta 自家的 Facebook、Instagram,到 Netflix、Airbnb、Shopify、Walmart、Asana 等大型平台,统统都离不开它;更不用说数以百万计的开发者生态,并且还有很多框架都依赖于存在漏洞的 React 包。
React 团队将其编号为 CVE-2025-55182,其在通用漏洞评分系统中获得了满分 1