CVE-2026-23869 CVSS 7.5 高危

CVE-2026-23869 React Server Components拒绝服务漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-23869

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

React Server Components (react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack)

漏洞概述

React Server Components 组件中存在拒绝服务漏洞，影响 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 等多个包。受影响版本包括 19.0.0 至 19.0.4、19.1.0 至 19.1.5 以及 19.2.0 至 19.2.4。攻击者无需认证和用户交互，只需向 Server Function 端点发送特制的 HTTP 请求即可触发该漏洞。该请求会导致服务器 CPU 占用率过高长达一分钟，最终抛出可捕获的错误，从而造成服务不可用。

技术细节

该漏洞源于 React Server Components 在处理 Server Function 端点的传入请求时，未能有效过滤或限制特定格式的 Payload。攻击者利用网络向量（AV:N）向受影响端点发送精心构造的恶意数据包。当服务器尝试解析这些数据时，会触发非正常的计算逻辑或递归操作，导致 CPU 资源被大量消耗并持续约一分钟。尽管该过程最终会抛出错误并被捕获，但在高并发或重复攻击的场景下，这种资源耗尽将直接导致服务器响应能力下降甚至完全瘫痪，严重影响系统的可用性（A:H）。

攻击链分析

STEP 1

侦察

攻击者识别运行受影响版本的 React Server Components 应用，并定位其 Server Function 端点。

STEP 2

利用

攻击者向 Server Function 端点发送特制的 HTTP 请求，该请求包含能够导致 CPU 过载的恶意 Payload。

STEP 3

影响

服务器处理该请求时 CPU 使用率飙升至 100% 并持续长达一分钟，导致合法请求无法得到处理，造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable Server Function endpoint
target_url = "http://vulnerable-host/_server_action"

# The specific payload structure depends on the internal parsing logic of RSC.
# This is a conceptual example of sending a request that triggers the DoS.
malicious_payload = {
    # Placeholder for the crafted data that causes CPU exhaustion.
    # Real-world exploitation requires specific data patterns known in the advisory.
    "_args": [["...crafted_payload..."]]
}

try:
    print("Sending malicious request to trigger DoS...")
    response = requests.post(target_url, json=malicious_payload)
    print(f"Response Status: {response.status_code}")
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

react-server-dom-parcel 19.0.0 - 19.0.4

react-server-dom-parcel 19.1.0 - 19.1.5

react-server-dom-parcel 19.2.0 - 19.2.4

react-server-dom-turbopack 19.0.0 - 19.0.4

react-server-dom-turbopack 19.1.0 - 19.1.5

react-server-dom-turbopack 19.2.0 - 19.2.4

react-server-dom-webpack 19.0.0 - 19.0.4

react-server-dom-webpack 19.1.0 - 19.1.5

react-server-dom-webpack 19.2.0 - 19.2.4

防御指南

临时缓解措施

如果无法立即升级，建议在应用网关或反向代理层面对 Server Function 端点实施速率限制，以减轻攻击带来的影响。同时，监控服务器 CPU 使用情况，设置告警阈值以便及时发现异常。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表