核弹级漏洞？请看CVE-2025-55182真实测验分析

12月3日凌晨，关于CVE-2025-55182 & CVE-2025-66478一系列“CVSS10”、“核弹级”、“堪比前端圈的log4j"等文章标R题在网安圈中流传甚广。Goby安全团队通过系列复现测试后发现，这些相关传言存在夸大，实际风险并未达到"核弹级"的程度。为避免引发不必要的恐慌，本文将从漏洞原理、网传PoC解析、风险评估等方面进行客观解析。

网传的“漏洞利用率接近100%,估计约39%的云环境存在漏洞”是真的吗？

先看一眼网传截图（搜索CVE编号某度随意打开第一页结果中的一篇文章）

其实不然，此漏洞关联react-server-dom-webpack组件的Server Actions功能，从技术原理来看，漏洞根源在于该组件在解析客户端提交的表单数据时，缺失了关键的安全校验环节。理论上，攻击者可通过构造恶意表单请求，尝试调用Node.js内置模块，进而可能实现系统命令执行、文件读写等操作。

而Next.js 15.x及16.x版本在启用App Router模式时，因依赖存在上述缺陷的React服务端DOM包，也被纳入潜在影响范围。

Goby安全团队的评判为：此漏洞有危害，但是“堪比前端圈的log4jshell”的说法言过其实。

漏洞的触发存在严格的前置条件，并非所有使用相关组件或框架的场景都存在风险。漏洞触发需要同时满足两个关键前提：

一是开发人员在项目中使用了存在缺陷的react-server-dom-webpack组件的Server Actions功能；

二是存在“客户端请求参数经过组件处理后的返回值直接回显给客户端”的不当开发操作。只有这仅当两个条件同时成立时，漏洞才具备漏洞被利用的基础。

从实际应用场景来看，RSC组件作为服务端渲染用，所以返回值回显虽然是常规操作，但是这一般是对于开发者自己的可靠来源来使用，至于直接使用用户/接口参数作为回显的方式则相当罕见。这也就意味着，在公网环境中，能够暴露可被该漏洞并被利用的暴露目标数量非常有限。

这个时候可能有师傅要问了，那为什么听闻网传PoC本地复现利用成功率100%？关于这个问题，我们针对目前网传PoC进行详细解析：

CVE-2025-55182-poc/src/server.js at main · ejpir/CVE-2025-55182-poc

这个也是目前流传甚广的100%利用成功的PoC，实际上的复现场景是作者根据漏洞原理精心构造的服务端场景【等价于自身既是攻击者也是受害者】。依照此PoC在本地搭建复现一键成功，但是在公网上基本无法探测到漏洞。【或许有不求甚解的白帽子兄弟将这个路径作为漏洞路径全网找洞了，当然无功而返。】

那它到底有没有危害？

有危害，但它的影响更多是体现在基于RSC组件的服务端渲染框架/实体产品开发中导致的某个接口出现的真真实实的另一个实体类的漏洞，这与原组件漏洞的危害等级不能混为一谈。因为react作为前端的主流框架，涉及面非常之广，由于其生态体系极其庞大，衍生的服务端开发框架的质量参差不齐，不排除有个别基于React生态链开发的服务端渲染框架，因开发过程中对原生组件的修改不当，形成类似原理的实体漏洞。

风险处置建议

此漏洞存在于以下软件包的 19.0、19.1.0、19.1.1 和 19.2.0 版本中：

react-server-dom-parcel（19.0.0、19.1.0、19.1.1 和 19.2.0）

react-server-dom-webpack（19.0.0、19.1.0、19.1.1 和 19.2.0）

react-server-dom-turbopack（19.0.0、19.1.0、19.1.1 和 19.2.0）

这些软件包包含在以下框架和打包工具中：

Next.js 版本 ≥14.3.0-canary.77、≥15 和 ≥16

其他嵌入或依赖于 React Server Components 实现的框架和插件（例如 Vite、Parcel、React Router、RedwoodSDK、Waku）

官方已发布补丁：https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

总结

Goby安全团队将持续跟踪该漏洞及相关衍生风险的动态，及时向行业发布最新的风险提示和与防御建议。在此也提醒开发团队：若项目中使用了相关组件，可排查是否存在"使用Server Actions功能且返回值回显"的场景，如有则需及时优化代码逻辑。同时，建议关注React和Next.js官方的更新公告，及时升级到修复后的版本，从源头降低风险。