React：黑客通过 JavaScript 库向网站植入加密货币窃取程序，已发布修复程序

Techub News 消息，据 Cointelegraph 报道，网络安全非营利组织安全联盟（SEAL）披露，近期通过开源前端 JavaScript 库 React 的漏洞向网站植入加密货币窃取程序的攻击呈上升趋势。React 主要用于构建用户界面，尤其在 Web 应用领域广泛应用。React 团队于 12 月 3 日披露，白帽黑客 Lachlan Davidson 发现该软件存在安全漏洞，允许未经身份验证的远程代码执行，攻击者可借此植入并运行恶意代码。SEAL 指出，恶意分子正利用该漏洞（编号 CVE-2025-55182）向加密货币网站暗中植入钱包清空代码。

React 已于 12 月 3 日发布了 CVE-2025-55182 漏洞修复程序，并建议所有使用 react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack 的用户立即升级以消除该漏洞。团队补充说明：「若应用程序的 React 代码未使用服务器端组件，则不受此漏洞影响；若应用程序未使用支持 React 服务器端组件的框架、打包工具或打包插件，则同样不受此漏洞影响。」