检测CVE-2025–66478/CVE-2025–55182：React/Next.js RSC反序列化漏洞实战指南

两天前，一个影响React Server Components（RSC）“Flight”协议的关键不安全反序列化漏洞被公布，涉及版本19.0.0、19.1.0、19.1.1和19.2.0，该协议被React.js（CVE-2025–55182）和Next.js（CVE-2025–66478）使用。对于Next.js，受影响版本包括：Next.js 14.3.0-canary、15.x以及16.x（App Router）。已修复的版本为14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7和16.0.7。该漏洞允许未经身份验证的远程代码执行。

在这篇简短的博客中，我使用Next.js创建的一个非易受攻击和一个易受攻击的应用程序，搭建了一个Docker化的实验室。我使用了Assetnote的脚本和Burp的ActiveScan++来检测应用程序是否易受攻击。

运行已修复版本Next.js的应用程序。

设置react2shell-scanner脚本。

脚本检测到该应用程序不易受攻击。

下面的应用程序正在运行属于易受攻击版本的Next.js 16.0.0。

扫描器检测到目标应用程序易受攻击。

ActiveScan++ (v2.0.8)也具备此检测功能。

另一个可用于演示的实验室是来自Hackinghub的。

启动实验室。

Wappalyzer检测到该应用程序使用了易受攻击的版本Next.js 16.0.6。

Hackinghub目标被react2shell脚本扫描。

最近，对此漏洞的检测已添加到Burp Pro扫描器本身，而不仅仅是在Active Scan ++扩展中。

Hackinghub目标被Burp扫描；Burp标记了该漏洞。

我们也可以使用Nuclei扫描目标应用程序。

漏洞利用尝试：

上方是一个有效载荷/Burp请求的副本，来自这个GitHub仓库。

参考资料：

• https://github.com/assetnote/react2shell-scanner
• https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
• https://nvd.nist.gov/vuln/detail/CVE-2025-55182
• https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/
• https://app.hackinghub.io/hubs/cve-2025-55182
• https://github.com/l4rm4nd/CVE-2025-55182

免责声明：

本博客提供的信息仅用于一般信息目的。虽然我始终力求准确，但某些细节可能不准确，提供的列表可能不完整。尽管如此，我强烈建议在做出任何决定或采取行动之前，依据行业标准文件和官方来源（上文参考资料部分列出了一些）验证任何关键信息。此处表达的所有观点均为我个人观点，不代表我的雇主的观点或立场。

CSD0tFqvECLokhw9aBeRqtTv15RNmaHdiNZPviuVo91qSznOHH5tFALIOiISSclTt0ZgWoJjRK8zWTPl0501L/A9ABEqIKFrxnjd8J8aI/s=