React团队于12月3日发布了有史以来最严重的安全漏洞公告(CVE-2025-55182),该漏洞被评为CVSS 10.0分——最高风险等级。被称为“React2Shell”的漏洞,攻击者无需身份验证,发送一个精心构造的HTTP请求即可直接控制企业服务器。
安全研究员 Defused 指出,这是一个评分为10.0的严重漏洞,已有野外利用的报告。截至目前,全球已有超过380万个公开部署的React应用面临风险,覆盖金融、医疗、政务等关键领域。
一、漏洞危害:炸弹级威胁,企业安全防线可能全面崩溃
1 无需认证的远程代码执行
攻击者无需登录目标系统,甚至无需知道后台存在,仅通过前端交互即可触发漏洞。一旦成功利用,黑客可以在服务器上执行任意命令,包括删除数据库、植入木马、横向渗透内网等恶意操作。
2 利用难度极低
攻击者只需构造一个恶意HTTP请求,即可实现攻击。目前已有公开的利用代码(PoC),并且观测到大规模在野利用。 甚至有Chrome扩展可以检测网站是否易受此漏洞攻击。
二、影响范围:全面覆盖现代 React
开发生态需企业立即自查
此次漏洞影响了 React 生态系统的核心组件,具体影响范围如下:
核心包:react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 的 19.0.0、19.1.0、19.1.1 和 19.2.0 版本均受影响。
Next.js 框架
使用 app Router 的 Next.js 框架受影响严重,包括 14.3.0 及以上版本、以及 15 与 16 版本。漏洞编号为 CVE-2025-66478,CVSS 评分同样为10.0。
其他框架工具
React Router、Waku、RedwoodJS、Vite、Parcel 等使用了 RSC 实现的框架或插件同样受到影响。
据云安全公司 Wiz 评估,39%的云环境存在受此漏洞影响的实例。 使用 React 及相关框架的企业需立即排查自身系统是否在受影响范围内。
三、修复方案:官方补丁与云防护双重防护
构建纵深防御体系
面对这一严峻威胁,企业应采取以下紧急措施:
立即升级到安全版本
相关包:升级至 19.0.1、19.1.2 或 19.2.1 版本
Next.js 用户:根据当前使用版本线,升级到 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 或 16.0.7 等修复版本
部署云防护,拦截漏洞利用企图
尽管升级是根本解决方案,但全面测试和部署补丁需要时间。在此期间,云防护可提供即时防护。
云防护采用先进的语义引擎技术,能够精准还原层层伪装的攻击向量,从编码层面智能识别并拦截针对 CVE-2025-55182 的攻击企图。
产品支持百万级并发处理,99%的请求可在1毫秒内快速响应,确保业务不受影响。
