官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
一个名为"React2Shell"的严重未认证远程代码执行漏洞正在被活跃利用,数百万Web服务面临风险。12月3日,React披露了CVE-2025-55182漏洞,这是React服务器组件中的一个严重缺陷,CVSS评分为10分。
漏洞技术分析
该漏洞源于React服务器组件使用的"Flight"协议中存在不安全的反序列化问题。攻击者无需认证即可通过向服务器功能端点发送特制HTTP请求,在易受攻击的服务器上执行任意代码,从而完全控制系统。
国家背景黑客组织活跃利用
亚马逊AWS研究人员报告称,包括Earth Lamia和Jackpot Panda在内的中国关联威胁组织在漏洞公开后24小时内就开始利用。攻击者主要针对使用React服务器组件的云托管应用,通常在获取初始访问权限后快速部署Web Shell和后门程序。
| 字段 | 详情 |
|---|---|
| CVE编号 | CVE-2025-55182 |
| CVSS评分 | 10.0(严重) |
| 漏洞类型 | 未认证远程代码执行 |
| 受影响版本 | React 19.0.0、19.1.0、19.1.1、19.2.0 |
截至12月5日,美国网络安全和基础设施安全局(CISA)已将该漏洞列入已知被利用漏洞目录。GreyNoise也监测到针对其蜜罐的试探性攻击,表明互联网上存在广泛的扫描和利用活动。
影响范围评估
根据Censys数据,约215万台面向互联网的Web服务可能受影响,包括运行React服务器组件及Next.js、Waku、React Router和RedwoodSDK等框架的服务。虽然这个数字反映的是软件暴露情况而非确认的易受攻击版本,但考虑到这些框架的流行程度,潜在影响范围十分巨大。
具体受影响的React服务器组件包包括react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0.0至19.2.0版本。多个流行框架依赖这些包,包括:
- 使用App Router的Next.js 14.3.0-canary.77及以上版本
- React Router RSC预览版
- Waku
- Vite RSC插件
- Parcel RSC插件
- RedwoodSDK
纯客户端React应用(不运行服务器端组件)不受影响。但实现React服务器组件的应用即使未显式使用服务器功能端点,仍然存在风险。
修复建议
目前已有修复版本发布,建议组织立即升级至:
- React 19.0.1、19.1.2或19.2.1
- Next.js用户应根据当前版本升级至15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7或16.0.7
虽然Cloudflare和AWS等WAF提供商已部署防护规则集,但部分PoC利用程序已展示绕过技术。打补丁仍是最可靠的缓解措施。鉴于漏洞的活跃利用状态、最高严重性评分以及框架的广泛采用,运行React服务器组件的组织应将此漏洞修复作为紧急优先事项处理。
参考来源:
2.15M Web Services Running Next.js Exposed Over Internet, Active Exploitation Underway – Patch Now
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)