CVE-2025-55182 (React2Shell) 完全漏洞赏金猎人指南

CVE-2025–55182 (React2Shell) — 完全漏洞赏金猎人指南

CVE-2025-55182（绰号“React2Shell”）是一个严重程度为10.0分的远程代码执行漏洞，影响React服务器组件和Next.js应用程序。该漏洞由Lachlan Davidson发现并于2025年12月3日披露，在披露后的数小时内，已发现与中国有国家关联的威胁行为者开始在野积极利用此漏洞。

关键事实:

• 严重性： 严重 (CVSS 10.0)
• 攻击向量： 网络
• 所需认证： 无（无需认证的RCE）
• 用户交互： 无
• 利用可靠性： 接近100%成功率
• 活跃利用： 已被Unit 42、AWS、Wiz和Datadog确认
• CISA KEV： 已添加到已知被利用漏洞目录

免费阅读：点此🔍

什么是 CVE-2025–55182?

CVE-2025-55182 是 React 服务器组件 Flight 协议实现中的一个不安全反序列化漏洞。它允许未经身份验证的攻击者通过构造恶意的 HTTP 负载，利用原型污染和不安全的属性访问模式，在服务器上执行任意的 JavaScript 代码。

CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==