React曝“炸弹级”漏洞(CVE-2025-55182),CVSS 10.0分!已有在野利用,企业如何紧急防御

近日,React 团队紧急发布高危安全漏洞公告(CVE-2025-55182),该漏洞被评为 CVSS 10.0 分,属于最高风险等级。安全研究人员将其命名为 "React2shell",攻击者无需身份验证,仅通过构造特定 HTTP 请求,就可能实现远程代码执行,直接控制服务器。

据报告,目前全球已有超过 380 万 个公开部署的 React 应用受到影响,涵盖金融、医疗、政务等多个关键领域,且已观测到大规模在野利用。


🔥 漏洞危害:无需认证的远程代码执行

  1. 直接获取服务器控制权

    攻击者无需登录,仅通过与前端交互即可触发漏洞,成功后可执行任意命令,包括删除数据、植入后门、横向移动等。

  2. 利用难度低,PoC 已公开

    目前漏洞利用代码(PoC)已在网络流传,甚至有 Chrome 扩展可检测网站是否受此漏洞影响,攻击门槛大幅降低。


📌 影响范围:覆盖主流 React 生态

  • React 核心包
    react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack 的 19.0.0、19.1.0、19.1.1、19.2.0 版本均受影响。

  • Next.js(App Router)

    受影响版本包括 ≥14.3.0-canary.77、≥15 和 ≥16 系列,对应漏洞编号 CVE-2025-66478(同样 CVSS 10.0 分)。

  • 其他框架/工具

    React Router、Waku、RedwoodJS、Vite、Parcel 等基于 RSC 实现的框架或插件也可能受到影响。

据云安全公司 Wiz 评估,约 39% 的云环境 中存在受此漏洞影响的实例,企业需立即自查。


🛡️ 修复与防护建议

1. 立即升级至安全版本

React 团队已发布修复版本,建议尽快升级:

  • React 相关包:升级至 19.0.1、19.1.2 或 19.2.1

  • Next.js:根据版本线升级至 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 或 16.0.7 等已修复版本

2. 临时防护:部署云 WAF

在全面升级前,可通过云 WAF 拦截攻击流量。例如,南凌科技云WAF 已支持对该漏洞的语义级检测与防护,能在不影响业务的情况下阻断攻击请求。


✅ 企业自查与防护测试

如果你所在的项目使用了受影响版本的 React 或 Next.js,建议:

  1. 立即检查依赖版本,升级到已修复的安全版本;

  2. 若暂无法立即升级,可通过 WAF 等边界防护产品进行临时防御;

  3. 关注官方漏洞公告,及时更新修复。

据悉,南凌科技云WAF 已具备对该漏洞的防护能力,如需测试可联系获取试用。


总结:CVE-2025-55182 是 React 生态中罕见的高危漏洞,影响范围广、利用简单,企业需高度重视。建议优先升级修复,并结合云WAF等防护手段构建纵深防御体系。

相关推荐
kyriewen10 小时前
Anthropic 估值逼近万亿美元,Claude Sonnet 5 + Claude Science 一天两连发
前端·ai编程·claude
小徐_233311 小时前
Wot UI 2.2.0 发布:Button 新增 subtle,VideoPreview 预览体验继续增强
前端·微信小程序·uni-app
天蓝色的鱼鱼14 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷14 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花14 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷15 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜15 小时前
Spring Boot 核心知识点总结
前端
lichenyang45315 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕15 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js