React2Shell高危漏洞深度剖析：RCE威胁下的React/Next.js应用安全

漏洞是什么？ React2Shell是一个关键的无认证远程代码执行（RCE）漏洞，影响了React服务端组件（RSC）以及实现了Flight协议的框架，包括受影响版本的Next.js。远程攻击者可以发送特制的RSC请求，触发服务端反序列化，无需任何用户交互即可实现任意代码执行。

利用此漏洞可实现对服务器的完全控制、安装后门、窃取凭据和横向移动。鉴于React/Next.js在生产环境中的广泛采用，组织应立即打补丁，在RSC端点上强制执行WAF限制，并主动搜寻可疑的Node.js进程生成、异常的RSC请求或意外的出站连接。

一些公开传播的概念验证（PoC）似乎不完整或具有误导性，在验证前应谨慎对待。

美国网络安全和基础设施安全局（CISA）在2025年12月5日发现主动利用的证据后，已将CVE-2025-55182添加到已知已利用漏洞（KEV）目录中。

AWS安全团队已识别出利用活动源自历史上与已知的中国国家关联威胁行为者相关的IP地址和基础设施。

什么是推荐的缓解措施？ React服务端Flight库： react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack（供应商公告中概述了特定的易受攻击版本）。

实现了RSC/Flight的框架： 如Next.js（尤其是15至16范围内的某些版本）以及其他嵌入了React服务端组件或Flight功能的生态系统框架。

组织应查阅供应商公告以获取完整的版本详情、缓解步骤和更新指南。

有哪些可用的FortiGuard覆盖？ 通过FortiWeb（Web应用防火墙和API防护）提供的FortiGuard Web应用安全服务，通过检测和阻止针对易受攻击的Web服务器和应用程序组件的利用尝试来保护Web应用程序。

FortiAnalyzer、FortiSIEM和FortiSOAR通过IoCs服务整合已知的失陷指标，支持高级威胁狩猎、自动关联和快速事件响应。FortiGuard Labs持续监控新出现的IoCs，确保针对不断变化的威胁活动提供主动保护。

Lacework FortiCNAPP云团队正在积极评估React2Shell漏洞对云工作负载的影响，并已发布了一篇支持性的知识库文章作为其持续响应的一部分。Lacework FortiCNAPP通过其漏洞管理和代码安全组件自动识别客户环境中的易受攻击包。

怀疑可能遭受入侵的组织，鼓励联系FortiGuard事件响应团队以获取快速调查和修复支持。