安全公告:CVE-2025-55182 严重漏洞分析——“React2Shell”远程代码执行漏洞
概述
近日,一个编号为 CVE-2025-55182,俗称“React2Shell”的严重安全漏洞被披露。该漏洞影响 React Server Components (RSC) 及其实现框架,如 Next.js、React Router 和 Waku,并允许未经身份验证的攻击者执行远程代码(RCE)。此漏洞的 CVSS v3.x 评分为 10.0,表明其具有最大严重性,对受影响的系统构成即时威胁。
漏洞详情
CVE-2025-55182 的核心在于 React 的“Flight”协议中存在的不安全反序列化缺陷。此协议用于处理从 HTTP 请求到服务器功能端点的有效载荷,特别是在 React Server Components (RSC) 的实现中。攻击者可以精心构造恶意 HTTP 请求,当服务器对其进行反序列化时,即可在受影响的 Web 服务器进程权限下执行任意代码。由于该漏洞存在于受影响应用程序的默认配置中,因此标准部署也面临即时风险。
受影响的版本和框架
此漏洞影响以下 React Server Components 版本:
* 19.0.0
* 19.1.0
* 19.1.1
* 19.2.0
受影响的包包括但不限于 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack。
此外,所有实现或依赖 React Server Components 的框架,例如 Next.js、React Router 和 Waku,都可能受到影响。这些框架的用户应特别关注其各自的更新指南。
影响与危害
CVE-2025-55182 达到了 CVSS v3.x 评分的最高级别 10.0,表明其具有最大严重性。成功利用此漏洞将导致未经身份验证的远程代码执行 (RCE),允许攻击者完全控制受影响的服务器。
根据观察到的漏洞利用活动,攻击者在获取初始访问权限后,通常会进行以下恶意行为:
* 加密货币挖矿: 在受感染的服务器上部署恶意挖矿程序,利用服务器资源进行加密货币生产。
* 部署后门: 安装持久性后门(例如 COMPOOD 和 KSwapDoor),以确保长期访问和控制。
* 窃取云凭据: 收集和窃取敏感的云平台凭据,进一步扩大攻击范围,渗透到更深层的云基础设施。
美国网络安全和基础设施安全局 (CISA) 已将此漏洞添加到其“已知已利用漏洞目录”(Known Exploited Vulnerabilities Catalog)中,强调了其已被积极利用的严重性。
漏洞时间线
- 22025年11月29日: 漏洞被报告。
- 2025年12月3日: 针对此漏洞的修复程序发布,并随即进行公开披露。
- 2025年12月5日左右: 修复程序发布后不久,野外即观察到大规模的活跃漏洞利用活动。
缓解措施和建议
鉴于此漏洞的严重性和已被积极利用的性质,所有使用 React Server Components 的开发者和组织都应立即采取行动。
强烈建议采取以下缓解措施:
- 立即升级 React 版本:
- 将 React 升级到 19.0.1、19.1.2 或 19.2.1 或更高版本。这些版本包含了修复此安全缺陷的补丁。
- 更新相关框架:
- 如果您在使用 Next.js、React Router、Waku 或其他依赖 React Server Components 的框架,请务必遵循其官方发布的更新说明,及时升级到包含此漏洞修复的最新版本。
- 持续监控和审计:
- 在应用补丁后,持续监控您的应用程序和服务器日志,以检测任何异常活动。定期进行安全审计和渗透测试,以确保系统安全。
- 最小权限原则:
- 确保您的 Web 服务器进程以最小必要的权限运行,以限制潜在漏洞利用的影响范围。
总结
CVE-2025-55182 是一个对 React 生态系统构成严重威胁的关键漏洞。及时的升级和严格的安全实践是保护您的应用程序和数据免受此威胁的关键。请务必优先处理此安全更新。