两天前,一个影响React服务器组件“Flight”协议版本19.0.0、19.1.0、19.1.1和19.2.0的关键不安全反序列化漏洞被公开,该协议被React.js(CVE-2025–55182)和Next.js(CVE-2025–66478)使用。对于Next.js,受影响的版本包括:Next.js 14.3.0-canary、15.x和16.x(App Router)。已修复的版本为14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7和16.0.7。此漏洞允许未经身份验证的远程代码执行。
在这篇简短的博客中,我使用Next.js创建的非漏洞应用和漏洞应用建立了一个Docker化的实验环境。我使用了Assetnote的脚本和Burp的ActiveScan++来检测应用是否存在漏洞。
脚本检测到该应用不存在漏洞。
下面的应用运行的是Next.js 16.0.0,属于受影响版本。
ActiveScan++ (v2.0.8) 同样具备此漏洞的检测能力。
另一个可用于演示的实验环境来自Hackinghub。
启动实验环境。
Wappalyzer检测到该应用使用了存在漏洞的Next.js 16.0.6版本。
使用react2shell脚本扫描Hackinghub目标。
最近,此漏洞的检测已被加入Burp Pro扫描器的主程序,而不仅仅是Active Scan ++扩展中。
Burp扫描了Hackinghub目标并标记了该漏洞。
我们也可以使用Nuclei扫描目标应用。
漏洞利用尝试:
上面是一个有效载荷/Burp请求的副本,来自这个GitHub仓库。
参考资料:
- https://github.com/assetnote/react2shell-scanner
- https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
- https://nvd.nist.gov/vuln/detail/CVE-2025-55182
- https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/
- https://app.hackinghub.io/hubs/cve-2025-55182
- https://github.com/l4rm4nd/CVE-2025-55182
免责声明:
本博客提供的信息仅用于一般性参考。虽然我总是力求准确,但某些细节可能不准确,提供的列表也可能不完整。尽管如此,我强烈建议在做出任何决定或采取行动之前,根据行业标准文档和官方来源(部分列于上述参考资料部分)核实任何关键信息。此处表达的所有观点均为我个人观点,并不代表我雇主的观点或立场。
CSD0tFqvECLokhw9aBeRqtTv15RNmaHdiNZPviuVo91qSznOHH5tFALIOiISSclTt0ZgWoJjRK8zWTPl0501L/A9ABEqIKFrxnjd8J8aI/s=
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
