概述

2025年12月3日，Meta披露了一个新的漏洞CVE-2025-55182，该漏洞随后被命名为React2Shell。第二个CVE标识符CVE-2025-66478曾被分配并发布，用于在Next.js的上下文中追踪此漏洞。然而，由于所有情况下的根本原因相同，这第二个CVE已被拒绝，应使用单一的通用CVE标识符。

CVE-2025-55182是一个严重的影响React的未认证远程代码执行漏洞，React是用于构建现代Web应用程序的非常流行的库。该新漏洞的CVSS评分为10.0，这是可能的最高评分，表明此问题的严重性极高。成功利用CVE-2025-55182允许远程未认证攻击者通过恶意的HTTP请求在受影响的服务器上执行任意代码。

该漏洞影响支持React服务器组件的React应用程序。虽然漏洞影响React服务器组件功能，但即使应用程序没有显式实现任何React服务器函数端点，只要支持React服务器组件，服务器应用程序可能仍然易受攻击。此外，许多基于React的流行框架，如Next.js，也受此漏洞影响。

Next.js的供应商Vercel发布了单独的安全公告。该公告追踪CVE-2025-55182对Next.js框架的影响，并为Next.js用户提供修复问题的信息。

截至本博客在2025年12月4日发布之时，尚未有已知的公开利用代码可用。已有多个声称利用CVE-2025-55182的利用程序被发布；然而，尚未能成功验证它们确实能利用此漏洞。原始发现者的网站react2shell.com已注意到这一点。虽然广泛的利用尚未开始，但我们预计一旦可行的公开利用程序出现，情况将迅速改变。

强烈建议使用React或受影响的下游框架的组织在正常补丁周期之外，并赶在广泛利用开始之前，紧急修复此漏洞。

缓解指南

CVE-2025-55182影响以下React包的19.0、19.1.0、19.1.1和19.2.0版本：

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

上述包的供应商更新版本（19.0.1、19.1.2和19.2.1）已可用。建议受影响React包的用户紧急更新到最新的修复版本。

依赖React的下游框架也受影响，包括但不限于：

• Next.js
• React Router
• Waku
• Parcel
• Vite
• Redwood SDK

有关React的最新缓解指南，请参考React安全公告。有关Next.js特定的最新缓解指南，请参考Vercel安全公告。

Rapid7客户

Exposure Command、InsightVM 和 Nexpose

更新

2025年12月4日：对标点和语法进行了几处细微编辑。

文章标签 Emergent Threat Response Rapid7

作者帖子

相关博客帖子

• 漏洞与利用 CVE-2025-64446：Fortinet FortiWeb中的关键漏洞在野利用 Rapid7
• 检测与响应 利用SonicWall设备进行初始访问的Akira勒索软件组织 Rapid7
• 暴露管理 CVE-2022-28810：ManageEngine ADSelfService Plus 认证命令执行（已修复） Jake Baines
• 暴露管理 Rapid7的InsightIDR能够检测和响应Microsoft Exchange零日漏洞 Andrew Christian

查看所有帖子