React2Shell (CVE-2025–55182)：打破网络的反序列化漏洞 ⚡

React2Shell (CVE-2025–55182)：打破网络的反序列化漏洞 ⚡

React2Shell， CVE-2025–55182， RCE漏洞：对React Server Components中不安全的反序列化缺陷的详细解析，该漏洞使得攻击者能够在默认配置的React/Next.js环境中实现未经身份验证的远程代码执行。

Aditya Bhatt

4分钟阅读 · 2025年12月11日

⏩ TL;DR

React2Shell (CVE-2025–55182) 是一个影响React 19.x及Next.js等框架中React Server Components (RSC)的严重远程代码执行漏洞。该漏洞源于对“Flight”协议块的不安全反序列化，攻击者可注入恶意结构，这些结构最终会解析为Function构造函数，从而导致服务器上的任意JavaScript代码执行。

• 影响默认配置
• 无需身份验证
• 利用标准multipart/form-data请求
• 导致服务器完全失陷
• 存在公开的PoC（将在下文注明出处）
• 缓解措施：更新至React 19.2.1+ / 已打补丁的Next.js版本

免费文章链接

我的GitHub仓库与源代码链接

按回车键或点击以查看完整尺寸图片

👋 引言

CSD0tFqvECLokhw9aBeRql82vEc40jJXXhARFJtLD/cVJ2hZTOr6GMyi1mzi+fFh6emkURy+wEGtG6Q3NLPu4i/q4cLt8FrhQZQ28Lf8yCAB5p7TNXlu/JJYWok1Ud6QuMDJsa/n9SQI0CId9iw4PHGnvMMPZOOz6v6GOojBqUec4tgn5LWfAfOiAI6DiwNX