CVE-2025-55182 (React2Shell) — 完整的漏洞悬赏猎人指南

CVE-2025-55182 (React2Shell) — 完整的漏洞悬赏猎人指南

Abhishek meena

7 分钟阅读·2025年12月10日

CVE-2025-55182（绰号“React2Shell”）是一个严重的远程代码执行漏洞，其CVSS评分为10.0，影响React服务器组件和Next.js应用程序。该漏洞由Lachlan Davidson发现，并于2025年12月3日披露。在披露数小时内，已被与中国有关联的国家背景威胁行为者积极利用。

关键事实:

• 严重程度: 严重（CVSS 10.0）
• 攻击向量: 网络
• 所需认证: 无（未经身份验证的远程代码执行）
• 用户交互: 无
• 漏洞利用可靠性: 成功率接近100%
• 已确认的活跃利用: 由Unit 42、AWS、Wiz和Datadog确认
• CISA KEV: 已添加到已知被利用漏洞目录

🔍 什么是 CVE-2025–55182？

CVE-2025-55182是React服务器组件（RSC）Flight协议实现中的一个不安全的反序列化漏洞。它允许未经身份验证的攻击者通过构造利用原型污染和不安全属性访问模式的恶意HTTP有效载荷，在服务器上执行任意JavaScript代码。

CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==