新扫描器发布：专为检测暴露的ReactJS与Next.js RSC端点（CVE-2025-55182）

安全研究人员发布了一款专门的扫描工具，用于识别现代Web应用中存在漏洞的React服务器组件端点，以弥补CVE-2025-55182检测方面的关键空白。

新的检测方法挑战现有的安全假设

一款新近可用的基于Python的扫描器，通过引入复杂的表面检测方法，正在改变组织评估其受CVE-2025-55182影响风险的方式。

与传统依赖固定载荷注入的利用工具不同，这款轻量级扫描器能够验证服务器是否主动暴露了RSC协议并对Next.js操作头做出响应。

CVE-2025-55182漏洞影响React 19和Next.js应用，可能通过暴露的RSC端点使其面临远程代码执行攻击的风险。然而，安全团队一直难以准确判断其漏洞状态，因为许多现有的检测方法会产生假阴性结果。

传统的漏洞扫描方法在生产环境中存在显著局限性。大多数激进的验证工具依赖于特定的载荷，例如 vm#runInThisContext，或者假设默认的模块标识符，例如 "id": "vm"。这些假设在实际部署中被证明是有问题的。

使用Webpack或Turbopack构建的生产应用程序通常会将模块标识符压缩为整数（例如742）或通过树摇完全移除它们。当安全团队针对生产构建部署标准RCE载荷时，利用会静默失败，造成一种危险的虚假安全感。

根据Fatguru的说法，新的扫描器放弃了以利用为中心的方法，转而采用表面检测。该工具并非试图在目标服务器上执行任意代码，而是系统地验证服务器是否接受RSC协议请求并正确处理Next.js操作头。这种方法检测的是暴露本身，而非确认特定代码小工具的可利用性。

安全研究人员强调，识别暴露的端点仅仅是第一步。获得阳性检测结果的组织应了解，他们的服务器正在接受RSC载荷并尝试处理它们，这表明存在潜在的漏洞。

对于通过此扫描器确认暴露的安全团队来说，实际的利用验证需要进一步调查。由于模块标识符被压缩，固定的载荷在生产系统上会持续失败。相反，组织必须枚举或模糊测试Webpack模块ID，分析客户端的webpack-runtime.js文件和代码块资产，以提取潜在小工具的有效ID映射。

该扫描器提供简单的命令行功能。用户可以使用 python3 cve_2025_55182_scanner.py -u http://localhost:3000/ 扫描单个目标，或从文件中处理多个URL进行批量评估。该工具需要Python 3和通过pip可获取的标准依赖项。

安全团队应理解，此工具严格用于识别暴露的RSC端点，并不执行漏洞利用。它作为一种检测和意识机制，提醒组织检查其应用是否接受需要处理的RSC载荷。

随着CVE-2025-55182在安全社区持续受到关注，此扫描器成为漏洞发现工作流程中的重要贡献，使团队能够在攻击者之前识别出存在风险的React和Next.js应用。