React2Shell (CVE-2025-55182) 安全警报：React与Next.js中的严重RCE漏洞——开发者须知

React2Shell (CVE-2025-55182) 安全警报：React与Next.js中的严重RCE漏洞——开发者须知

对于React和Next.js社区来说，过去几周相当紧张。就在12月3日，一个关键漏洞被披露，坦白说，这让我凌晨2点还在不停地刷新安全动态。CVE-2025–55182，被戏称为React2Shell，正是那种当你意识到其影响范围时，会感到胃里一沉的漏洞。让我来详细分解正在发生的事情、谁受到影响，以及最重要的是——你需要采取哪些措施。

Press enter or click to view image in full size

React2Shell究竟为何物？

可以把React服务器组件想象成浏览器和服务器之间的翻译器。当你的应用将数据发送回服务器时，React会获取这些数据并将其转换为服务器能够理解的指令——这个过程称为“反序列化”。这就像打开一个纸板箱，并相信里面的任何东西都是合法的。

问题在于：React并没有在门口要求出示ID。

CVE-2025–55182 是一个无需身份验证的远程代码执行漏洞。这意味着攻击者不需要你的密码、API密钥或任何特殊访问权限。他们只需发送一个恶意的HTTP请求——仅此一个请求——你的服务器就会开始执行任意代码，并拥有完整的Node.js权限。这种……FINISHED CSD0tFqvECLokhw9aBeRqtI8FmgTKLN3HiYKpkRVGuJf8WY8rmeX4e386rVOYh1Gfayohsuo3VNUmekknHj5ImHZykplNWcV8U4oy6JWh6L3xFVh4wX3HFJAA4Gn8dLl0BZKkmRo8DO3u8nXXLJWjJ3QzXvR7e9xGttPKvg+Qtg=