CVE-2025-55182 (React2Shell) 完整漏洞赏金猎手指南：React服务器组件高危RCE漏洞解析

CVE-2025-55182 (React2Shell) — 完整漏洞赏金猎手指南

作者 Abhishek meena

7分钟阅读·2025年12月10日

1014 收听 分享

CVE-2025-55182（昵称“React2Shell”）是一个严重的远程代码执行漏洞，其CVSS评分为10.0，影响React服务器组件和Next.js应用程序。该漏洞由Lachlan Davidson发现并于2025年12月3日披露，在披露后数小时内即被来自中国的国家关联威胁行为者积极用于野外攻击。

关键事实：

• 严重性：严重（CVSS 10.0）
• 攻击向量：网络
• 所需认证：无（未认证RCE）
• 用户交互：无
• 利用可靠性：接近100%成功率
• 主动利用：已由Unit 42、AWS、Wiz和Datadog确认
• CISA KEV：已添加到已知被利用漏洞目录
• 免费阅读：点击此处🔍

什么是 CVE-2025–55182？

CVE-2025–55182是React服务器组件RSC Flight协议实现中的一个不安全的反序列化漏洞。它允许未经身份验证的攻击者通过构造恶意的HTTP载荷来利用原型污染和不安全的属性访问模式，从而在服务器上执行任意JavaScript代码。

CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==