近日,React 团队紧急发布高危安全漏洞公告(CVE-2025-55182),该漏洞被评为 CVSS 10.0 分,属于最高风险等级。安全研究人员将其命名为 "React2shell",攻击者无需身份验证,仅通过构造特定 HTTP 请求,就可能实现远程代码执行,直接控制服务器。
据报告,目前全球已有超过 380 万 个公开部署的 React 应用受到影响,涵盖金融、医疗、政务等多个关键领域,且已观测到大规模在野利用。
🔥 漏洞危害:无需认证的远程代码执行
-
直接获取服务器控制权
攻击者无需登录,仅通过与前端交互即可触发漏洞,成功后可执行任意命令,包括删除数据、植入后门、横向移动等。
-
利用难度低,PoC 已公开
目前漏洞利用代码(PoC)已在网络流传,甚至有 Chrome 扩展可检测网站是否受此漏洞影响,攻击门槛大幅降低。
📌 影响范围:覆盖主流 React 生态
-
React 核心包
react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack的 19.0.0、19.1.0、19.1.1、19.2.0 版本均受影响。 -
Next.js(App Router)
受影响版本包括 ≥14.3.0-canary.77、≥15 和 ≥16 系列,对应漏洞编号 CVE-2025-66478(同样 CVSS 10.0 分)。
-
其他框架/工具
React Router、Waku、RedwoodJS、Vite、Parcel 等基于 RSC 实现的框架或插件也可能受到影响。
据云安全公司 Wiz 评估,约 39% 的云环境 中存在受此漏洞影响的实例,企业需立即自查。
🛡️ 修复与防护建议
1. 立即升级至安全版本
React 团队已发布修复版本,建议尽快升级:
-
React 相关包:升级至 19.0.1、19.1.2 或 19.2.1
-
Next.js:根据版本线升级至 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 或 16.0.7 等已修复版本
2. 临时防护:部署云 WAF
在全面升级前,可通过云 WAF 拦截攻击流量。例如,南凌科技云WAF 已支持对该漏洞的语义级检测与防护,能在不影响业务的情况下阻断攻击请求。
✅ 企业自查与防护测试
如果你所在的项目使用了受影响版本的 React 或 Next.js,建议:
-
立即检查依赖版本,升级到已修复的安全版本;
-
若暂无法立即升级,可通过 WAF 等边界防护产品进行临时防御;
-
关注官方漏洞公告,及时更新修复。
据悉,南凌科技云WAF 已具备对该漏洞的防护能力,如需测试可联系获取试用。
总结:CVE-2025-55182 是 React 生态中罕见的高危漏洞,影响范围广、利用简单,企业需高度重视。建议优先升级修复,并结合云WAF等防护手段构建纵深防御体系。