一定要看完🤣！

React 服务器组件中的严重漏洞（ CVE-2025-55182 ）已被负责任地披露。该漏洞影响 React 19 以及使用它的框架，包括 Next.js（ CVE-2025-66478 ）。
如果您正在使用 Next.js，则 Next.js 15 到 16 之间的每个版本都会受到影响，我们建议立即更新到包含相应修复程序的最新 Next.js 版本（15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7）。
如果您正在使用其他使用服务器组件的框架，我们也建议您立即更新到包含相应修复程序的最新 React 版本（19.0.1、19.1.2 和 19.2.1）。

这个会影响什么呢?

两个漏洞（CVE - 2025 - 55182与CVE - 2025 - 66478）均为CVSS评分10.0的最高危远程代码执行漏洞，对使用对应版本React和Next.js的应用危害极大，具体影响如下：

1. 服务器完全受控：攻击者发送特制HTTP请求就能注入恶意代码，调用Node.js的 child_process 等危险模块，执行任意系统命令，进而窃取服务器密钥、植入后门，实现对服务器的完全控制。

2. 大规模暴露风险高：有统计显示39%的云环境存在受影响的应用实例，其中61%具备公网访问能力，这意味着大量应用直接面临公开攻击威胁，且Next.js默认启用App Router的应用均属高风险范畴。

3. 业务与合规双重受损：恶意代码可能造成服务器崩溃、应用宕机，中断业务运转；用户信息、交易记录等核心数据还可能被窃取，触发GDPR等合规条款违规；同时企业品牌形象会因攻击事件受损，导致用户信任度下降。

不过纯前端React应用、使用Pages Router的Next.js应用等场景不受该漏洞影响。

攻击者利用这些漏洞做什么呢？
主要利用被攻击者的服务器去挖矿，变成了矿机！

攻击者挖什么矿呢？
门罗币（XMR）。。。 December 12, 2025