一、漏洞概述：CVE-2025-55182 是什么？

漏洞本质

CVE-2025-55182 是一个服务器端序列化漏洞。它发生在使用 react-server-dom-webpack 或 react-server-dom-esm 进行服务端组件（RSC）渲染时，攻击者可能通过精心构造的 Props 数据，导致服务器端执行非预期的序列化操作，进而可能引发服务端拒绝服务（DoS） 或潜在的信息泄露。

简单来讲，利用该漏洞可在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务。

影响范围（重要更新）

React 生态影响：

• react 和 react-dom: >=19.0.0 且 <19.2.1
• Next.js 专属 CVE: CVE-2025-66478（与 React 漏洞相关）

Next.js 受影响版本（关键信息）：
根据官方公告，Next.js 15 到 16 之间的所有版本都会受到影响。具体来说，你需要立即更新到以下已修复的安全版本：

React 安全修复版本：

• 19.0.1、19.1.2 和 19.2.1

二、第一步：确认你的项目是否受影响

检查 Next.js 版本

# 检查 Next.js 版本
npm list next --depth=0

# 或者同时检查 React 和 Next.js
npm list react react-dom next --depth=0

输出示例分析：

受影响的情况：

[email protected]
├── [email protected]        # 危险！需要升级到 15.3.6
├── [email protected]
└── [email protected]

安全的情况（已修复）：

[email protected]
├── [email protected]        # 安全！已包含修复
├── [email protected]
└── [email protected]

三、修复方案：Next.js 用户的升级指南

官方推荐方案

对于 Next.js 用户，官方强烈建议：直接更新到最新的 Next.js 版本，因为 Next.js 的修复版本已经包含了相应修复的 React 依赖。

升级步骤

1. 升级 Next.js 到安全版本（推荐方案）

# 升级到最新的 Next.js 安全版本
npm install next@latest

# 或者明确指定你当前主线的安全版本
# 例如，如果你当前是 15.3.x：
npm install [email protected]

2. 验证升级结果

npm list next --depth=0

预期输出应显示已修复的版本号。

3. 同时确保 React 版本安全

虽然升级 Next.js 通常会处理 React 依赖，但最好也显式检查：

npm list react react-dom --depth=0

如果 React 版本仍不安全，可手动升级：

npm install react@^19.2.1 react-dom@^19.2.1

其他框架用户的修复方案

如果你使用的是其他支持服务端组件的框架（如 Gatsby、Remix 等），官方建议：

# 直接升级 React 到安全版本
npm install react@^19.2.1 react-dom@^19.2.1

四、验证修复是否成功

升级后，进行完整测试以确保修复有效：

# 1. 清理缓存（重要）
npm run build --force
# 或
rm -rf .next && npm run build

# 2. 运行完整测试套件
npm test

# 3. 启动开发服务器验证功能
npm run dev

五、版本兼容性说明

好消息：Next.js 的安全修复版本保持了良好的向后兼容性。从受影响版本升级到对应的安全版本通常不会引入破坏性变更。

例如：

• 从 [email protected] 升级到 [email protected]：安全修复，无破坏性变更
• 从 [email protected] 升级到 [email protected]：包含新功能，但 API 兼容

总结

核心要点：

• Next.js 用户应优先升级 Next.js 本身，而非仅仅升级 React
• 安全修复版本已经过测试，升级风险较低
• 及时行动是关键，该漏洞影响所有使用服务端组件的 Next.js 应用

官方资源：

• Next.js 安全公告
• React GitHub 发布页面

保持依赖项更新是保障项目安全的最佳实践。建议立即行动，确保你的应用免受此漏洞影响！