近期发现部分软件工具、信息系统存在高危漏洞，现将相关情况预警如下：

一 、开源开发框架 React 存在远程代码执行漏洞

React是用于构建用户界面的开源JavaScript库，使用较为广泛，其界面渲染组件React Server Components近日曝出存在远程代码执行漏洞（漏洞编号： CNVD-2025-29924），未经授权的攻击者可远程发送构造的恶意请求触发该漏洞， 在目标服务器执行 任 意 代 码 ，获 取 服 务 器 控 制 权 限 。React 软 件19.0.0\19.1.0\19.1.1\19.2.0 版本，以及Next.js等JS框架受此漏洞影响。

漏洞处置建议：React、Next.js已修复漏洞并发布安全公告，请及时排查受漏洞影响情况，并尽快升级至安全版本。

React安全公告链接：https://react.dev/blog/2025/12/03/critical-security-vulnerabilityin-react-server-components

Next.js 安全公告链接：https://nextjs.org/blog/CVE-2025-66478。

二 、谷歌公司 Chrome 浏览器存在远程代码执行漏洞

谷歌公司Chrome浏览器V8JavaScript引擎存在远程代码执行高危漏洞（漏洞编号：CVE-2025-10585），远程且未经身份验证的攻击者可通过诱导用户访问特制的恶意页面触发此漏洞，导致内存损坏，甚至远程代码执行。其他基于 Chromium 内核的浏览器亦受此漏洞影响。谷歌公司已紧急修复此漏洞。。

漏洞处置建议：尽快升级至安全版本（Chrome版本140.0.7339.185/.186或以上）。

如出现设备被控制的情况，请立即断开受影响桌面电脑的网络连接，防止恶意程序进一步扩散，并及时查杀木马病毒或重装系统。对于未安装安全防护软件的设备应及时安装安全防护软件并定期进行木马病毒查杀，以抵御木马软件和恶意软件攻击（信息中心提供有正版的奇安信天擎终端安全管理系统，可在校内访问http://ms.szu.edu.cn下载，其他知名的安全防护软件及地址包括：火绒官方地址：https://www.huorong.cn/；腾讯电脑管家官方地址：https://guanjia.qq.com/；360安全卫士官方地址：https://www.360.cn）。如需技术支持请联系信息中心服务电话：26536188。

信息中心

2025年1月6日