来源 :南凌科技NOVAnet2025-12-08
React团队于12月3日发布了有史以来最严重的安全漏洞公告(CVE-2025-55182),该漏洞被评为CVSS 10.0分——最高风险等级。这一被称为“React2shell”的漏洞,堪比一把开启服务器大门的“ 万能钥匙 ”,攻击者无需任何身份验证,仅需发送一个精心构造的HTTP请求,便可直接控制企业服务器。
安全研究员Defused指出,这是一个评分10.0的严重漏洞,并且已有野外利用的报告。截至目前,全球已有超过380万个公开部署的React应用面临风险,覆盖金融、医疗、政务等关键领域。
一
漏洞危害:“炸弹级”威胁,
企业安全防线或面临全线崩溃
1
无需认证的远程代码执行
攻击者无需登录目标系统,甚至无需知道后台存在,仅通过前端交互即可触发漏洞。一旦成功利用,黑客可以在服务器上执行任意命令,包括删除数据库、植入木马、横向渗透内网等恶意操作。
2
利用难度极低
攻击者只需构造一个恶意HTTP请求,即可实现攻击。目前已有公开的利用代码(PoC),并且观测到大规模在野利用。甚至有Chrome扩展可以检测网站是否易受此漏洞攻击。
二
影响范围:全面覆盖现代React
开发生态,企业自查刻不容缓
此次漏洞影响了React生态系统的核心组件,具体影响范围如下:
React核心包
react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0.0、19.1.0、19.1.1和19.2.0版本均受影响。
Next.js框架
使用App Router的Next.js框架受影响严重,包括>=14.3.0-canary.77、>=15和>=16版本。漏洞编号为CVE-2025-66478(CVSS评分同样为10.0)。
其他框架工具
React Router、Waku、RedwoodJS、Vite、Parcel等使用了RSC实现的框架或插件同样受到影响。
据云安全公司Wiz评估,39%的云环境存在受此漏洞影响的实例。使用React及相关框架的企业需立即排查自身系统是否在受影响范围内。
三
修复方案:
官方补丁与云WAF双重防护
构建纵深防御体系
面对这一严峻威胁, 南凌科技 安全专家建议企业采取以下紧急措施:
立即升级到安全版本
React团队已发布修复补丁,受影响用户应立即升级到以下安全版本:
React相关包:升级至19.0.1、19.1.2或19.2.1版本
Next.js用户:根据当前使用版本线,升级到15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7或16.0.7等修复版本
部署云WAF,拦截漏洞利用企图
尽管升级是根本解决方案,但企业全面测试和部署补丁需要时间。在此期间, 南凌科技 「云WAF」可提供即时防护。
南凌科技 「云WAF」采用先进的语义引擎技术,能够精准还原层层伪装的攻击向量,从编码层面智能识别并拦截针对CVE-2025-55182的攻击企图。
产品支持百万级并发处理,99%的请求可在1毫秒内快速响应,确保业务不受影响。