fu
CVE-2025–55182 (React2Shell) — 完整漏洞赏金狩猎指南
CVE-2025–55182(昵称“React2Shell”)是一个关键的远程代码执行漏洞,其CVSS评分为10.0分,影响React Server Components和Next.js应用程序。该漏洞由Lachlan Davidson发现并于2025年12月3日披露。在披露后的数小时内,已被具有中国国家背景关联的威胁行为者在真实环境中积极利用。
关键事实:
- 严重性: 严重 (CVSS 10.0)
- 攻击向量: 网络
- 所需认证: 无(未经认证的RCE)
- 用户交互: 无
- 利用可靠性: 接近100%的成功率
- 主动利用: 已获Unit 42、AWS、Wiz和Datadog确认
- CISA KEV: 已添加到已知被利用漏洞目录
🔍 什么是 CVE-2025–55182?
CVE-2025–55182 是 React Server Components (RSC) 的 Flight 协议实现中的一个不安全反序列化漏洞。它允许未经身份验证的攻击者通过构造恶意的HTTP负载来利用原型污染和不安全的属性访问模式,从而在服务器上执行任意的JavaScript代码。 CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==
