您在這裡

>
>
>
【情資分享/NASOC】伺服器元件的滿分漏洞CVE-2025-55182(React2Shell)

【情資分享/NASOC】伺服器元件的滿分漏洞CVE-2025-55182(React2Shell)

2025.12.10 發佈
網管資安資訊

在12月3日時,React開發團隊公布伺服器元件的滿分漏洞

CVE-2025-55182(React2Shell),

並表示只要用戶的應用程式支援React伺服器元件就可能曝險,

iThome新聞連結:

https://www.ithome.com.tw/news/172651

 

受影響版本及修補方式,整理為下方表格,詳細說明可以參考官方部落格,

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

 

Next.js:

框架/平臺

受影響版本

指令參考

Next.js

15.0.x

npm install next@15.0.5

15.1.x

npm install next@15.1.9

15.2.x

npm install next@15.2.6

15.3.x

npm install next@15.3.6

15.4.x

npm install next@15.4.8

15.5.x

npm install next@15.5.7

16.0.x

npm install next@16.0.7

14.3.0-canary.77或更高的canary版本,請降級到最新的穩定版 14.x

npm install next@14

 

其他框架/平台:

框架/平臺

受影響版本

指令參考

React Router

若使用不穩定的RSC API,查看package.json是否有以下套件,react、react-dom、react-server-dom-parcel、react-server-dom-webpack、@vitejs/plugin-rsc,有的話需進行更新。

npm install react@latest

npm install react-dom@latest

npm install react-server-dom-parcel@latest

npm install react-server-dom-webpack@latest

npm install @vitejs/plugin-rsc@latest

Expo

參考此網站說明,https://expo.dev/changelog/mitigating-critical-security-vulnerability-in-react-server-components

  

Redwood SDK

使用版本需>=1.0.0-alpha.0

npm install rwsdk@latest

npm install react@latest react-dom@latest react-server-dom-webpack@latest

Waku

  

npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

@vitejs/plugin-rsc

  

npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

 

框架/平台版本更新完,需再更新核心版本:

核心

指令參考

react-server-dom-parcel

npm install react@latest react-dom@latest react-server-dom-parcel@latest

react-server-dom-turbopack

npm install react@latest react-dom@latest react-server-dom-turbopack@latest

react-server-dom-webpack

npm install react@latest react-dom@latest react-server-dom-webpack@latest