React2Shell漏洞深度解析：React Server Components的RCE风险与应对

本篇博客探讨了React2Shell漏洞广泛且严峻的现状。它提供了技术概述、建议的缓解措施、保护人员、流程和数据的行动方案，以及我们团队在此漏洞出现后的观察和经验总结。

请注意，随着更多信息的出现，Intigriti将持续更新报告，提供我们的分类团队和研究人员所观察到的信息，并会定期用最新的补丁和修复方案更新此内容。

2025年12月3日，开源前端JavaScript库React发布了一篇题为《React Server Components中的严重安全漏洞》的博客，详细阐述了一个最高严重性漏洞（CVSS评分为10）。

此漏洞（CVE-2025-55182）被命名为React2Shell（此名称是对Log4Shell的致意）。

根据发布的信息，React2Shell于11月29日被报告。“Lachlan Davidson报告了React中的一个安全漏洞，该漏洞允许通过利用React解码发送到React Server Function端点的载荷时的缺陷，进行未经身份验证的远程代码执行。”

12月1日，修复方案被创建，React团队开始实施缓解措施并推出修复。12月3日，修复方案公开发布并披露为CVE-2025-55182。

在博客发布时，该漏洞存在于 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 的 19.0、19.1.0、19.1.1 和 19.2.0 版本中。

这里需要注意的重要一点是，即使您的应用程序未实现任何React Server Function端点，如果您的应用程序支持React Server Components，您可能仍然易受攻击。

存在多种机制来识别资产是否运行React Server Components，但仅仅确认其存在并不足以确定资产是否易受攻击。

React旨在使基于组件的用户界面构建变得无缝。React提供了集成点以及框架用来运行代码的工具。React所做的是翻译客户端的HTTP请求，然后将其转发到服务器。在服务器上，HTTP请求被转换为函数调用，以将所需数据返回给客户端。

现在，利用React2Shell，可以精心构造一个恶意的HTTP请求并发送到服务器函数端点，当该请求被React重新序列化时，便可在该服务器上执行远程代码。

我们Intigriti团队在此之后注意到，基于此漏洞提交到分类队列的报告数量有所增加。

自该漏洞首次被报告以来，Intigriti已收到超过一百份关于React2Shell的报告。

这些报告中的大多数已被确认存在漏洞并可被利用。

虽然对于新发现的漏洞存在冷却期，但我们看到一些公司会提供奖金，以感谢他们被及时告知此问题。

首先，我们建议您更新到最新版本并应用最新更新。本篇博客为每个受影响的组件提供了补丁信息。

当您的团队在内部进行修复和打补丁时，这也是利用专家研究人员确保没有遗漏任何环节的好时机。

最大化您的漏洞赏金计划和漏洞披露计划价值的一些技巧包括：

通过及时更新您的政策页面，让研究人员知道他们应该将精力集中在哪些领域。
考虑激励研究人员进行调查，如果您觉得已经修复了问题，可以设立额外奖励以发现盲点。
虽然大多数提交将通过漏洞赏金计划进行，但对于漏洞披露计划，如果您的社区接受React2Shell报告，也值得更新您的社区信息，因为这些报告也可能通过漏洞披露计划提交。

能够快速行动并进行修复的公司将在降低此漏洞影响方面取得最佳效果。

如需更多信息或与我们的团队成员交流，请通过此处联系我们。