IBM React 服务器组件远程代码执行漏洞深度剖析 (CVE-2025-55182)

本文详细披露了IBM端点因React服务器组件存在的一个远程代码执行漏洞。该漏洞被标记为严重级别（CVSS 10.0），涉及代码注入，最终导致攻击者能够执行任意代码。报告记录了漏洞的提交、处理到公开披露的完整时间线。

通过React服务器组件漏洞实现远程代码执行 (CVE-2025-55182)

摘要： IBM确认并已修复了一个通过React服务器组件漏洞（CVE-2025-55182）在其端点上实现的远程代码执行（RCE）漏洞。感谢外部研究人员 @kanon4。

时间线

2025年12月9日，上午9:43（UTC）： ID验证通过的黑客 kanon4 向IBM提交了一份报告。
2025年12月9日，下午3:46（UTC）： IBM工作人员 analyst_bin 将状态更改为 已分类。
2025年12月9日，下午10:08（UTC）： kanon4 发布了一条评论。
约13天前：机器人 ibm_api_22 关闭了报告并将状态更改为 已解决。
约12天前： kanon4 发布了一条评论。
约12天前： kanon4 请求公开披露此报告。
约11天前： IBM工作人员 pink23 修改了报告标题。
约11天前： IBM工作人员 pink23 同意公开披露此报告。
约11天前：此报告已被公开披露。

报告详情

报告时间： 2025年12月9日，上午9:43 UTC
报告人： kanon4
报告对象： IBM
报告ID： #3458235
状态：已解决
严重等级：严重 (10.0)
披露日期： 2025年12月18日，下午4:17 UTC
弱点类型：代码注入
CVE ID： CVE-2025-55182
赏金：隐藏
账户详情：无

验证代理推理 关闭无此报告的验证代理推理信息。不同意该推理？请告知我们。

看起来您的浏览器禁用了JavaScript。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。

comments powered by Disqus