编译 | Tina、冬梅上周刚追完 10 级补丁，以为能喘口气了？还不行。12 月 12 日，React 官方确认，研究人员在验证上周补丁时，竟又在 React Server Components（RSC）里发现了两处新漏洞。过去一周，React2Shell 漏洞的余威仍在：服务器被劫持挖矿、云厂商紧急封禁、甚至引发 Cloudflare ...

React团队于12月3日发布了有史以来最严重的安全漏洞公告（CVE-2025-55182），该漏洞被评为CVSS 10.0分——最高风险等级。 这一被称为“React2shell”的漏洞， 堪比一把开启服务器大门的“万能钥匙”，攻击者无需任何身份验证，仅需发送一个精心构造的HTTP请求，便可直接控制企业服务器。

作者 | Daniel Curtis译者 | 田橙适用于 React 的开源类型安全搜索参数状态管理器 Nuqs，于 2025 年 React Advanced 大会 亮相，展示了 URL 状态管理如何为整个 React 生态的应用开发带来变革。在 ...

网络安全非营利组织 Security Alliance（SEAL）称，近期有黑客利用开源前端 Java 库 React 中的安全漏洞，将加密钱包清空程序（crypto drainer）植入网站，相关攻击活动明显增加。React 团队于 12 月 3 日披露，一名白帽黑客 Lachlan Davidson ...

Meta将把React、React Native和JSX（JavaScript XML）贡献给一个新的React基金会，该基金会是Linux基金会的一部分，并表示“重要的是不要让任何一家公司或组织的代表过多。” React基金会将由亚马逊、Callstack、Expo、Meta、微软、Software Mansion和Vercel等七家公司成员组成，其 ...