CVE-2025-55182 (React2Shell) — 完整漏洞赏金猎人指南
CVE-2025-55182(昵称“React2Shell”)是一个严重的远程代码执行漏洞,CVSS评分为10.0,影响React Server Components和Next.js应用程序。该漏洞由Lachlan Davidson发现并于2025年12月3日披露,在披露后的几个小时内,已被与国家有关的中国威胁行为者在实际攻击中积极利用。
关键事实:
- 严重性: 严重 (CVSS 10.0)
- 攻击媒介: 网络
- 需要认证: 否(未经认证的RCE)
- 用户交互: 否
- 漏洞利用可靠性: 接近100%成功率
- 主动利用情况: 已得到Unit 42、AWS、Wiz和Datadog确认
- CISA KEV: 已添加到已知被利用漏洞目录
🔍 什么是CVE-2025–55182?
CVE-2025–55182是React Server Components (RSC) Flight协议实现中的一个不安全反序列化漏洞。它允许未经认证的攻击者通过构造利用原型污染和不安全属性访问模式的恶意HTTP载荷,在服务器上执行任意JavaScript代码。 CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==
