Techub News 消息,据 Cointelegraph 报道,网络安全非营利组织安全联盟(SEAL)披露,近期通过开源前端 JavaScript 库 React 的漏洞向网站植入加密货币窃取程序的攻击呈上升趋势。React 主要用于构建用户界面,尤其在 Web 应用领域广泛应用。React 团队于 12 月 3 日披露,白帽黑客 Lachlan Davidson 发现该软件存在安全漏洞,允许未经身份验证的远程代码执行,攻击者可借此植入并运行恶意代码。SEAL 指出,恶意分子正利用该漏洞(编号 CVE-2025-55182)向加密货币网站暗中植入钱包清空代码。
React 已于 12 月 3 日发布了 CVE-2025-55182 漏洞修复程序,并建议所有使用 react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack 的用户立即升级以消除该漏洞。团队补充说明:「若应用程序的 React 代码未使用服务器端组件,则不受此漏洞影响;若应用程序未使用支持 React 服务器端组件的框架、打包工具或打包插件,则同样不受此漏洞影响。」
