年末代码冻结前的短暂平静已被打破。一个被编号为 CVE-2025-55182,并被俗称为 React2Shell 的严重漏洞已经披露。该漏洞影响了 React 服务端渲染架构中的核心序列化机制,并对 Next.js 应用产生了特别严重的影响。
这并非一个客户端的跨站脚本问题。这是一个远程代码执行漏洞,其 CVSS v4.0 评分为 10.0(严重)。
如果你的基础设施使用了 Next.js v15.x 或早于 16.0.7 的任何 v16.x 版本,或者使用了采用标准 hydration 技术的自定义 React SSR 实现,那么你的生产环境很可能面临未经身份验证的远程命令执行风险。
执行摘要
- 漏洞: CVE-2025-55182 ("React2Shell")
- 类型: 不安全反序列化导致远程代码执行
- 严重性: 严重 (CVSS 10.0)FINISHED CSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL+XZalbG4W5rKqlfkYKBxiBRTtAbVDVipJZo+ydjViqDCjSID+K7RTFn0PJSVCSIv+tgwL2+I6PUZNzi60N7JH9ucnpc9fU
