React曝核弹级RCE漏洞，你的WebGIS系统还在“裸奔”吗？

周五了，是不是开始摸鱼准备周末了？小编劝你先等等，就在昨天（2025年12月3日），React 官方与 Next.js 团队联合披露了一个 Critical（严重） 级别的安全漏洞。这不仅仅是一个普通的 Bug，而是一个允许未授权远程代码执行 (RCE) 的“核弹级”漏洞。如果你的WebGIS项目中使用了Next.js 或者 React 19，请注意及时排查，这个漏洞影响非常危险，避免造成更进一步数据泄漏风险。

漏洞详情

漏洞编号： CVE-2025-55182 (React) / CVE-2025-66478 (Next.js)

影响范围： 只要你的项目启用了 React Server Components (RSC)，即使你觉得自己没写什么后端逻辑，也可能中招。

危险等级： CVSS 10.0 (满分) —— 这意味着攻击者无需登录、无需复杂操作，只需发送一个精心构造的 HTTP 请求，就能在你的 Node.js 服务器上执行任意代码。

受影响版本：

• React: 19.0.0 至 19.2.0
• Next.js: 15.x, 16.x 以及 14.3.0-canary.77 之后的版本

WebGIS可能存在的风险

随着 WebGIS 三维化、数据量级指数增长，越来越多的 GIS 团队开始采用 Next.js (App Router) 来构建高性能的地理信息平台，以利用其 SSR（服务端渲染）优势来优化首屏，可能存在的风险如下：

Token 的服务端代理

很多 GIS 开发者为了不暴露 Token （如高德、天地图、Cesium Ion等），会使用 Next.js 的 Server Actions 或 Route Handlers 做一层代理转发。 攻击者利用此漏洞，可以直接绕过你的代理逻辑，不仅能窃取 Token，甚至能读取服务器上的 .env 文件，拿到数据库密码。

服务端 PostGIS 查询

在现代架构中，我们经常直接在 Server Component 中连接 PostGIS 数据库查询 GeoJSON 数据，比如下面这种写法：

// app/map/page.tsx (Server Component)
import prisma from '@/lib/db';

export default async function MapPage() {
  // 直接在服务端组件查库
  const features = await prisma.places.findMany();
  return <MapComponent data={features} />;
}

漏洞原理涉及 React 对 RSC Payload 的反序列化。攻击者构造恶意 Payload，可以在 prisma 查询执行前就接管服务器，直接“拖库”，导致机密测绘数据外泄。你存在PG里的空间数据不管涉不涉密，可以被随便下载传播。

大屏可视化系统的 SSR

现在很多GIS开发者为了提高首屏速度，会基于 Next.js 构建。虽然大屏主要在客户端渲染，但只要项目依赖了 react-server-dom-webpack 等包（Next.js App Router 默认包含），应用就暴露在风险中。

解决方案

先升级依赖， 如果你是 Next.js 用户： 请将 Next.js 升级到官方刚刚发布的修复版本。

# npm
npm install next@latest react@latest react-dom@latest

# yarn
yarn add next@latest react@latest react-dom@latest

# pnpm
pnpm add next@latest react@latest react-dom@latest

Next.js 15 用户需升级到 15.0.4+ (或最新补丁版)，Next.js 14 Canary 用户： 请立即回退到 v14 稳定版 或升级到 v15 修复版。

如果你是原生 React 19 用户： 需确保 react, react-dom, react-server-dom-* 等包升级到 19.0.1+, 19.1.2+ 或 19.2.1+。

升级完成之后，请重新运行运行构建命令并部署到生产环境。

结语

请所有的GIS开发者不要抱有侥幸心理，认为“我的系统在内网”或“没人知道我的接口”。在网络安全面前，每一行未打补丁的代码，都是向黑客敞开的大门。尤其咱这行业数据特殊，一旦泄漏后果可能会更加严重，小心驶得万年船。

不过，昨天这个漏洞出现的时候小编也曾在群里问过，受影响的是极小数，毕竟国内使用Vue的开发者更多。