CVE-2025-55182(被昵称为“React2Shell”) 是一个严重的远程代码执行漏洞,CVSS评分为10.0,影响React服务器组件和Next.js应用程序。该漏洞由Lachlan Davidson发现并于2025年12月3日披露,在披露后的几个小时内,已被具有国家背景的中国威胁行为者积极利用。
关键事实:
- 严重性: 严重 (CVSS 10.0)
- 攻击向量: 网络
- 需要身份验证: 否(未经身份验证的RCE)
- 用户交互: 否
- 漏洞利用可靠性: 接近100%成功率
- 活跃利用: 已获Unit 42、AWS、Wiz和Datadog确认
- CISA KEV: 已被添加到已知被利用漏洞目录
免费阅读: Here:magnifying_glass_tilted_left:
什么是 CVE-2025–55182?
CVE-2025–55182 是 React 服务器组件 协议实现中的一个不安全反序列化漏洞。它允许未经身份验证的攻击者通过构造利用原型污染和不安全属性访问模式的恶意 HTTP 负载,在服务器上执行任意 JavaScript 代码。
CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
