React2Shell (CVE-2025-55182) 完整漏洞赏金狩猎指南：揭秘高危RCE漏洞

CVE-2025–55182 (React2Shell) —— 完整漏洞赏金狩猎指南

CVE-2025–55182（昵称“React2Shell”）是一个严重的远程代码执行漏洞，其CVSS评分为10.0，主要影响React Server Components和Next.js应用程序。该漏洞由Lachlan Davidson发现，并于2025年12月3日披露。据信，在披露后数小时内，该漏洞即已被具有中国国家背景的威胁行为者在真实环境中主动利用。

关键事实：

• 严重性： 严重（CVSS 10.0）
• 攻击向量： 网络
• 所需认证： 无（未经认证的远程代码执行）
• 用户交互： 无
• 利用可靠性： 接近100%成功率
• 主动利用情况： 已得到Unit 42、AWS、Wiz和Datadog确认
• CISA KEV： 已添加至“已知被利用漏洞”目录

免费阅读 : 点此 🔍

🔍 CVE-2025–55182是什么？

CVE-2025–55182是React Server Components (RSC) Flight协议实现中的一个不安全的反序列化漏洞。它允许未经认证的攻击者，通过构造利用原型污染和不安全属性访问模式的恶意HTTP载荷，在服务器上执行任意JavaScript代码。

CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==