接有关部门通报,开源开发框架React存在远程代码执行漏洞。React是用于构建用户界面的开源JavaScript库,使用较为广泛,其界面渲染组件React Server Components近日曝出存在远程代码执行漏洞(漏洞编号:CNVD-2025-29924),未经授权的攻击者可远程发送构造的恶意请求触发该漏洞,在目标服务器执行任意代码,获取服务器控制权限。React软件19.0.0\19.1.0\19.1.1\19.2.0版本,以及Next.js等JS框架受此漏洞影响。React、Next.js已修复漏洞并发布安全公告。
请各单位排查受漏洞影响情况,及时升级至安全版本。如发生相关网络安全事件,各单位应按照《网络安全事件应急预案(试行)》要求执行,第一时间报告信息化工作办公室安全中心电话(67885015)QQ(1467148608),并采取有效措施将负面影响降到最低。
React安全公告链接:https://react.dev/blog/2025/12/03/critical-security-vulmerability-in-react-server-components。
Next.js安全公告链接:https://nextjs.org/blog/CVE-2025-66478。
特此通报。
注:来源于教育部安管平台。
