简介 

    软件供应链公司 JFrog Ltd. 的安全研究人员披露了 Meta Platforms Inc. 开发的开源 JavaScript 库 React 中存在一个高危漏洞（CVE-2025-11953）。该漏洞CVSS评分为9.8分，可导致远程代码执行，威胁数百万开发者，主要影响在服务器端渲染或特定数据流处理中使用React的应用程序，攻击者可能通过构造恶意输入控制用户浏览器或服务器环境。

核心详情 

    该漏洞源于React在处理特定类型的动态组件或属性时，未充分验证用户输入，导致攻击者能够注入并执行任意JavaScript代码。技术原理涉及React的渲染机制在解析不可信数据时绕过安全边界，例如在服务端渲染（SSR）过程中，恶意数据可能被直接嵌入到HTML输出中，从而触发跨站脚本（XSS）或更严重的远程代码执行。JFrog研究人员通过静态分析和动态测试发现了此问题，并已与Meta合作发布修复补丁。漏洞影响范围包括React 16.x至18.x的多个版本，尤其在构建工具如Webpack或Vite中集成React时风险更高，需立即检查依赖版本。

适用范围  

    适用于使用React库进行Web开发的开发者、团队及企业，特别是那些涉及用户输入处理、服务端渲染或动态内容生成的场景，如电商平台、社交应用和后台管理系统。此外，安全审计人员或运维团队在维护基于React的应用程序时也需关注此漏洞。

推荐措施 

    1、立即升级React到已修复的安全版本（如18.x最新版），并检查项目依赖树确保无遗留漏洞；2、在开发过程中启用严格模式并定期进行代码审查，使用工具如ESLint插件检测潜在XSS问题，同时参考官方安全文档部署内容安全策略（CSP）以降低风险。