K3ysTr0K3R/CVE-2025-55182-EXPLOIT

# CVE-2025-55182 - React2Shell **CVE-2025-55182**，也称为`React2Shell`，是React服务器组件（RSC）中一个**严重、无需身份验证的远程代码执行（RCE）**漏洞，RSC是React 19的App Router和Next.js等框架背后的技术。该漏洞于**2025年12月3日**公开披露，并被分配了**CVSS评分10.0（严重）**。 ## ⚠️ 影响概述 攻击者可以通过单个精心制作的HTTP POST请求利用此漏洞——**无需身份验证**。成功的利用通常会导致： - 完全控制服务器进程 - 盗取环境变量、数据库凭证和云元数据 - 部署加密货币挖掘器、后门和僵尸网络（例如，XMRig、Kaiji、RustoBot） - 渗透到内部网络 估计**82%的现代JavaScript Web应用程序**使用React 19或基于RSC的框架（最著名的是Next.js 15/16）存在漏洞。EPSS利用概率为**77.8**%，位于**99**分位数。截至2025年12月5日，它已被添加到**CISA已知的利用漏洞（KEV）目录**。 ## 🔧 技术深入分析 该漏洞存在于React的“Flight”协议中，该协议在客户端和服务器组件之间序列化和反序列化数据。未能验证传入的有效负载允许攻击者劫持反序列化过程。 利用链包含三个基本操作： 1. 通过`__proto__`进行**原型污染**以劫持Promise解析。 2. 通过遍历原型链（`$1:constructor:constructor`）访问**函数构造函数**，达到全局`Function()`构造函数。 3. 通过**`NEXT_REDIRECT`抛出**，在`x-action-redirect`响应头中提取命令输出——无需反向shell或回调服务器。 由于有效负载在**任何身份验证检查之前**被处理，攻击者可以以服务器进程的全部权限执行任意JavaScript。 ## 📦 受影响版本 | 包/框架 | 受影响版本 | 修复版本 | |---------------------|-------------------|------------------| | `react-server-dom-*` (webpack, parcel, turbopack) | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1 | | React (核心) | 19.0.0 – 19.2.0 | 19.0.1, 19.1.2, 19.2.1 | | Next.js (App Router) | 15.x 和 16.0.0 – 16.0.6 | 16.0.7+ / 15.x 修复版本 | Next.js 13.x / 14.x（稳定版）和Pages Router不受影响。 Google Cloud、Huntress和Trend Micro都发布了关于现场利用活动的详细分析。 ## 🛠️ 补救措施 **没有缓解措施**——修补是强制性的。 - **React：**升级到`>=19.0.1`、`>=19.1.2`或`>=19.2.1`（完全修复版本：19.2.3+）。 - **Next.js：**升级到`>=16.0.7`或相应的15.x修复版本。 - **如果无法立即修补：** - 暂时通过中间件禁用Server Actions。 - 部署WAF规则以阻止`__proto__`在`text/x-component`内容类型的有效负载中。 ## 📚 参考资料 - [NVD条目](https://nvd.nist.gov/vuln/detail/CVE-2025-55182) - [React安全公告](https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components) - [Google Cloud GTIG分析](https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182) - [Armis：零优先级修补事件](https://www.armis.com/blog/priority-zero-patching-event-react2shell/) - [Wiz：利用机制](https://www.wiz.io/blog/react2shell-cve-2025-55182-deep-dive) ## ⚖️ 免责声明

标签：事件响应, 威胁模拟, 日志审计