⏩ 内容提要 React2Shell (CVE-2025–55182) 是一个关键的远程代码执行漏洞,影响了React 19.x版本中的React服务器组件以及Next.js等框架。该漏洞的根源在于对“Flight”协议块的不安全反序列化,攻击者可以注入恶意结构,这些结构最终会解析为Function构造函数,从而导致在服务器上执行任意JavaScript代码。
- 影响默认配置
- 无需身份验证
- 利用标准的多部分/表单数据请求
- 导致服务器完全被接管
- 已存在公开的概念验证
- 缓解措施:更新至React 19.2.1+或已打补丁的Next.js版本
免费文章链接 我的GitHub仓库和源代码链接 按回车键或点击以查看完整尺寸的图像
👋 引言 CSD0tFqvECLokhw9aBeRql82vEc40jJXXhARFJtLD/cVJ2hZTOr6GMyi1mzi+fFh6emkURy+wEGtG6Q3NLPu4i/q4cLt8FrhQZQ28Lf8yCAB5p7TNXlu/JJYWok1Ud6QuMDJsa/n9SQI0CId9iw4PHGnvMMPZOOz6v6GOojBqUec4tgn5LWfAfOiAI6DiwNX
