React2Shell (CVE-2025–55182): The Deserialization Bug That Broke the Web :high_voltage:
React2Shell, CVE-2025–55182, RCE Vulnerability: A critical breakdown of the unsafe deserialization flaw in React Server Components that enables unauthenticated remote code execution across default React/Next.js setups.
Aditya Bhatt - 4 min read - Dec 11, 2025
:fast-forward_button: TL;DR
React2Shell (CVE-2025–55182) 是一个影响 React 19.x 及 Next.js 等框架中 React 服务器组件(RSC)的关键远程代码执行(RCE)漏洞。该漏洞存在于对“Flight”协议块的不安全反序列化过程中,允许攻击者注入恶意结构,这些结构会被解析为 Function 构造函数,最终导致在服务器上执行任意 JavaScript 代码。
- 适用于默认配置
- 无需身份验证
- 利用标准的多部分/表单数据请求
- 导致完整的服务器接管
- 已存在公开的 PoC(致谢见下文)
- 缓解措施:更新至 React 19.2.1+ / 已打补丁的 Next.js 版本
免费文章链接
我的 GitHub 仓库和源代码链接
(按回车或点击查看完整尺寸图片)
:waving_hand: 介绍
CSD0tFqvECLokhw9aBeRql82vEc40jJXXhARFJtLD/cVJ2hZTOr6GMyi1mzi+fFh6emkURy+wEGtG6Q3NLPu4i/q4cLt8FrhQZQ28Lf8yCAB5p7TNXlu/JJYWok1Ud6QuMDJsa/n9SQI0CId9iw4PHGnvMMPZOOz6v6GOojBqUec4tgn5LWfAfOiAI6DiwNX
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
