React 這個bug 有點嚴重了啊 hreact.dev/blog/2025/12/0… 影響React 19 的Server Components / Server Actions / Server Functions 生態,即使你的應用程式沒有明確使用「use server」 或Server Actions,只要專案依賴了React Server Components 的執行時間(即react-server-dom-* 套件),就可能暴露在攻擊之下。 我可以這麼理解嗎:攻擊者可以向任何支援RSC 的介面發送特製的惡意payload,在伺服器上直接執行任意程式碼,無需登入、無需任何權限。 讓AI 解讀一下:感覺是反序列化時有缺陷,攻擊者可以建構惡意的表單資料/JSON/multipart payload,繞過沙箱直接觸發Node.js 原生功能(如eval、Function 建構子、child_process 等),實作遠端程式碼執行。 大家能升級就趕快升級吧。
正在加载线程详情
正在从 X 获取原始推文,整理成清爽的阅读视图。
通常只需几秒钟,请稍候。