React2Shell — CVE-2025-55182:React服务器组件中未经身份验证的远程代码执行
深度剖析2025年最严重的Web应用漏洞之一
👨💻 什么是React2Shell?
React2Shell 是 CVE-2025–55182 的代号,这是一个影响 React服务器组件(RSC) 的严重**未经身份验证的远程代码执行(RCE)**漏洞。它允许威胁行为者在无需有效凭证的情况下,在存在漏洞的服务器上执行任意代码。
该漏洞由 Lachlan Davidson 于 2025年11月29日 负责任地披露,并迅速得到了修补。然而,在公开披露后的数小时内,与中国相关的威胁组织已开始大规模利用该漏洞。
📊 CVSS 评分:10.0(严重)
该评分反映了最高严重性,原因如下:
- 可远程利用
- 无需身份验证
- 对机密性、完整性和可用性具有高影响
- 存在公开的概念验证代码(PoC),易于利用
📦 哪些系统受到影响?
React2Shell 主要影响使用 React服务器组件 并搭配 Next.js App Router 的应用程序。
React → 受影响版本:19.x CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyFcZkFzdsqKAkXRi491mXlHnqpKlFrslUvfYCTUUqb6ZVYDQtrsF1zuRGP/2IIB5dBjxlaRyhEBaWnrNrpa+UoEr/Eg9xxhhJttE40LyG+GZ4zhSk2g6/LMXVoaEWWJOcL9BUqMy42H0KjSlXTkyZcU
