CVE-2025–55182 (React2Shell) — 完全漏洞赏金猎取指南
CVE-2025–55182(昵称“React2Shell”)是一个关键的远程代码执行漏洞,CVSS评分为10.0,影响React服务端组件和Next.js应用程序。该漏洞由Lachlan Davidson发现,并于2025年12月3日披露。在披露后的几个小时内,中国国家关联威胁组织已在野外积极利用此漏洞。
关键事实:
- 严重性:关键 (CVSS 10.0)
- 攻击向量:网络
- 所需身份验证:无(未经身份验证的RCE)
- 用户交互:无
- 漏洞利用可靠性:接近100%的成功率
- 主动利用:已被Unit 42、AWS、Wiz和Datadog确认
- CISA KEV:已添加到已知被利用漏洞目录
免费阅读:这里
🔍 什么是 CVE-2025–55182?
CVE-2025–55182是React服务端组件(RSC)Flight协议实现中的一个不安全反序列化漏洞。它允许未经身份验证的攻击者通过制作恶意HTTP负载来利用原型污染和不安全的属性访问模式,从而在服务器上执行任意JavaScript代码。 CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==
