漏洞描述
Next.js 是一个流行的 React 框架,广泛用于构建现代 Web 应用程序。CVE-2025-55182主要影响 react-server-dom-webpack 的 Server Actions 功能。由于在解析客户端的 RSC 相关请求时缺少安全校验,攻击者可通过构造恶意请求,从而在服务器上执行任意代码,甚至完全接管服务;同时由于 Next.js 15.x 和 16.x 版本在使用 App Router 时,依赖了存在缺陷的 React 服务端 DOM 包,导致攻击者同样可以注入恶意代码远程执行命令。