🎯 React2Shell (CVE-2025–55182) — 从React服务器组件到完全远程代码执行
React2Shell CVE-2025–55182: React服务器组件中未经身份验证的不安全反序列化,通过Flight协议导致可靠的远程代码执行。
作者:Aditya Bhatt
阅读时长:6分钟
发布日期:2025年1月4日
42 次收听 分享
🔗 本文引用的所有漏洞利用载荷、HTTP请求和检测规则均已归档在GitHub上: 👉 github.com/AdityaBhatt…
实验环境:tryhackme.com/room/react2…
难度级别:中级 → 高级
分类:Web漏洞利用 | 反序列化 | RCE
免费文章链接 (按下回车键或单击以查看完整尺寸图片)
🧩 任务1:引言 — 为什么React2Shell如此重要
CVE-2025–55182,绰号 React2Shell,是那种会立刻让防御者感到紧张 😬 的漏洞之一。发现于 2025年12月,其 CVSS评分高达10.0,这已经告诉你这不是一个边缘情况的错误。
其核心,此漏洞影响了 React服务器组件 以及构建在其之上的框架——最著名的是 Next.js。可怕的部分是什么? CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TP8C4Zjf+hAAubI4ejj5Iu5L/35oHmWH+cXZYmUe8lhQ3Rgv8OV0gwVDobuBeg/jBIHvbpCaAbdt6lX1CWl8Gh9TD/NaYb/SAFihcFSUV/pPPqHzmNaG32VXk+Zb4r8WZo=
