Dify 将前端核心框架 react 和 react-dom 升级到了 19.2.3，并同步更新了 Next.js 的安全补丁。这次修复的是核心依赖库中已知的 CVE ...

作者 | Daniel Curtis译者 | 田橙适用于 React 的开源类型安全搜索参数状态管理器 Nuqs，于 2025 年 React Advanced 大会 亮相，展示了 URL 状态管理如何为整个 React 生态的应用开发带来变革。在 ...

React团队于12月3日发布了有史以来最严重的安全漏洞公告（CVE-2025-55182），该漏洞被评为CVSS 10.0分——最高风险等级。 这一被称为“React2shell”的漏洞， 堪比一把开启服务器大门的“万能钥匙”，攻击者无需任何身份验证，仅需发送一个精心构造的HTTP请求，便可直接控制企业服务器。

网络安全非营利组织 Security Alliance（SEAL）称，近期有黑客利用开源前端 Java 库 React 中的安全漏洞，将加密钱包清空程序（crypto drainer）植入网站，相关攻击活动明显增加。React 团队于 12 月 3 日披露，一名白帽黑客 Lachlan Davidson ...

Meta将把React、React Native和JSX（JavaScript XML）贡献给一个新的React基金会，该基金会是Linux基金会的一部分，并表示“重要的是不要让任何一家公司或组织的代表过多。” React基金会将由亚马逊、Callstack、Expo、Meta、微软、Software Mansion和Vercel等七家公司成员组成，其 ...

一年两个高危CVE，React/Next.js的问题不是SSR，是前端被逼着干后端的活 CVE年年有，今年特别多，这不稀奇。什么时候开始一个”前端框架”的漏洞，能造成这么大的攻击面了？ 2015年的React就是个View层的库，Virtual DOM diff一下完事儿。现在你点开Next.js的文档看看，Server Components、Server ...