CVE-2025-55182 (React2Shell) — 完全漏洞赏金狩猎指南

CVE-2025-55182（被昵称为“React2Shell”） 是一个严重的远程代码执行漏洞，CVSS评分为10.0，影响React服务器组件和Next.js应用程序。该漏洞由Lachlan Davidson发现并于2025年12月3日披露，在披露后的几个小时内，已被具有国家背景的中国威胁行为者积极利用。

关键事实：

• 严重性： 严重 (CVSS 10.0)
• 攻击向量： 网络
• 需要身份验证： 否（未经身份验证的RCE）
• 用户交互： 否
• 漏洞利用可靠性： 接近100%成功率
• 活跃利用： 已获Unit 42、AWS、Wiz和Datadog确认
• CISA KEV： 已被添加到已知被利用漏洞目录

免费阅读： Here🔍

什么是 CVE-2025–55182？

CVE-2025–55182 是 React 服务器组件 协议实现中的一个不安全反序列化漏洞。它允许未经身份验证的攻击者通过构造利用原型污染和不安全属性访问模式的恶意 HTTP 负载，在服务器上执行任意 JavaScript 代码。

CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==