漏洞描述 12月4日,React 與 Next.js 官方披露了兩個與 React Server Components(RSC)相關的遠程代碼執行嚴重漏洞:CVE-2025-55182(React) 與 CVE-2025-66478(Next.js),其根因都是由於react-server-dom系列的三個實驗性對Flight協議的反序列化實現不當,這些組件用於處理Flight協議到dom的轉換:
