CRITICAL ALERT: React2Shell (CVE-2025–55182) 允许在 Next.js 和 React SSR 中远程执行代码
年终代码冻结前的短暂平静已被打破。一个被命名为 CVE-2025-55182、俗称 React2Shell 的严重漏洞已被披露。该漏洞影响 React 服务端渲染 (SSR) 架构中的核心序列化机制,并对 Next.js 应用程序造成特别严重的影响。
这不是一个客户端 XSS(跨站脚本)问题。这是一个远程代码执行 (RCE) 漏洞,其 CVSS v4.0 评分为 10.0(严重)。
如果你的基础设施使用了 Next.js v15.x 或早于 16.0.7 的 v16.x 版本,或者使用了依赖标准水合技术的自定义 React SSR 实现,那么你的生产环境很可能面临未经身份验证的远程命令执行风险。
内容概要
- 漏洞: CVE-2025-55182 (“React2Shell”)
- 类型: 不安全的反序列化导致 RCE
- 严重性: 严重 (CVSS 10.0)
点击或回车查看全尺寸图片
CSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL+XZalbG4W5rKqlfkYKBxiBRTtAbVDVipJZo+ydjViqDCjSID+K7RTFn0PJSVCSIv+tgwL2+I6PUZNzi60N7JH9ucnpc9fU
