警报拉响!React 核心组件曝出满分 RCE 漏洞 (CVE-2025-55182),服务器正面临沦陷危机

原创 于 2026-05-02 15:24:50 发布 · 268 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#react.js #服务器 #前端

如果你是一名前端开发者或运维工程师,且项目正在使用 React Server Components (RSC),请先停下手中的咖啡,立刻检查一下你的服务器版本。

距离 CVE-2025-55182 细节公开仅仅过去两个月,互联网上的攻击风暴已经悄然升级。根据安全社区(如 GreyNoise)的最新遥测数据,针对这个 CVSS 满分 10.0​ 的致命漏洞的利用,已经从黑客的“试探性扫描”演变为大规模的自动化收割战役。攻击者正在大批量部署加密货币挖矿机,并悄悄为自己留下“远程后门”。

在这场看不见硝烟的战争中,你的开发服务器可能已经成为黑客眼里的“肥肉”。

📂 漏洞档案:CVE-2025-55182 究竟是什么?

在深入战场之前,我们先来拆解一下这个评分拉满的漏洞核心:

  • CVE ID:CVE-2025-55182

  • CVSS 评分:10.0 (Critical / 极度危险)

  • 漏洞类型:不安全反序列化 (Insecure Deserialization) / 远程代码执行 (RCE)

  • 影响组件:React Server Components (RSC)

  • 攻击门槛:极低(无需认证,单条 HTTP 请求即可打穿)

💡 通俗原理解析:

React Server Components 允许客户端向服务器发送序列化的 UI 指令和数据。问题出在服务端对这些传入数据的“信任”上。由于反序列化过程缺乏严格的沙箱隔离与类型校验,攻击者可以通过精心构造一个恶意的 HTTP POST 请求,注入危险的系统指令。服务器在解析这段被污染的数据时,会乖乖地执行攻击者预设的恶意代码,从而导致全盘沦陷。

受影响的版本(请立即核对你的 package.json):

  • React 19.0.0

  • React 19.1.0 ~ 19.1.1

  • React 19.2.0

✅ 安全版本(请立即升级至此):

React 19.0.1, 19.1.2, 19.2.1

⚔️ 战场实录:两路大军正在对你的服务器“下手”

根据今年 1 月底到 2 月初的威胁情报,全网已有超过 1,000 个独立 IP​ 在对该漏洞进行疯狂爆破。但真正令人毛骨悚然的是流量的“集中化”——仅 2 个 IP 地址就制造了 56% 的攻击流量。这绝不是脚本小子的手动瞎撞,而是拥有庞大自动化基础设施的职业犯罪团伙。

目前,战场上盘踞着两股最猖獗的势力:

1. 资源吸血鬼:疯狂部署 XMRig 挖矿木马

  • 主力 IP87.121.84[.]24(承包了 22% 的流量)

  • 攻击手法:利用漏洞打入内部后,执行一个“下拉脚本”,从外部中转服务器(如 205.185.127[.]97)抓取并运行 XMRig 挖矿程序。

  • 深层背景:这伙人的“老巢”极其肮脏。该中转服务器自 2020 年起就托管着各种恶意域名(如 mased.top),且其相邻 IP 还在大量分发 Mirai 和 Gafgyt 僵尸网络病毒。这意味着他们不仅想偷你的服务器算力去挖门罗币,还在伺机将你的服务器拉入庞大的 IoT 僵尸网络,随时准备发动 DDoS 攻击。

2. 潜伏的间谍:直接开启反向 Shell 后门

  • 主力 IP193.142.147[.]209(承包了 34% 的流量,势头最猛)

  • 攻击手法:与粗暴的挖矿不同,这伙人追求的是“精细操作”。他们利用漏洞后,不会立刻拖家带口,而是让受害服务器主动连接攻击者的 TCP/12323端口,建立一个交互式反向 Shell

  • 潜在危害:这是一种极具隐蔽性的持久化控制手段。一旦得手,黑客就能把你当成跳板,在内网中横向移动,窃取数据库凭证、篡改业务代码,甚至勒索加密你的核心数据。

🎯 黑客的“重灾区”偏好:

除了常规的 80 和 443 端口,黑客将枪口重点对准了 3000、3001 和 3002​ 端口。这通常是开发人员在本地调试时,误用了 --host 0.0.0.0参数,将本该封闭的开发环境直接“裸奔”在了公网上。黑客深知这一点,正在全网地毯式扫描这些低垂的果实。

🛡️ 紧急避坑与修复指南:我们该如何应对?

面对满分 RCE,任何侥幸心理都是致命的。请立刻采取以下行动:

第一招:第一时间“打补丁”(根治方案)

升级你的 React 框架是唯一的治本之策。请运行以下命令,将项目依赖提升至安全版本:

# 以 npm 为例,升级到最新的安全补丁版本
npm install react@latest react-dom@latest

# 或者使用 yarn
yarn add react@latest react-dom@latest

注:React 官方在安全版本中重构了 RSC 的数据解析边界,彻底堵死了反序列化注入的通道。

第二招:掐断黑客的“触手”(网络层拦截)

如果由于种种原因暂时无法升级代码,你必须立刻在防火墙或云安全组层面实施“物理隔离”:

  1. 封禁恶意 IP:直接将 193.142.147[.]20987.121.84[.]24加入黑名单。

  2. 阻断异常端口:封禁出站连接到 TCP/12323端口的行为,切断黑客的反向 Shell 通道。

  3. 收敛暴露面立刻停止在前台运行带有 --host 0.0.0.0的 Node.js/React 开发服务。开发环境必须严格限制在本地回环(127.0.0.1)或通过 VPN/SSH 隧道访问。

第三招:揪出潜伏的内鬼(入侵排查)

假设你已经被入侵了,该如何收尾?

  • 日志溯源:检查 Web 访问日志,寻找那些包含异常 Next-Action头部的 POST 请求,这往往是漏洞利用的明显特征。

  • 进程与文件查杀:检查服务器上是否出现了不明来源的 ELF 可执行文件(尤其是 /tmp目录),或者使用 top/htop命令查看是否有占用率极高的未知进程(挖矿程序特征)。

  • 查壳与后门排查:使用 netstat -tulnp检查是否存在连接到外部 12323端口的异常 Socket 连接。

💡 写在最后:安全是一场持续的马拉松

CVE-2025-55182 再次给我们敲响了警钟:现代前端框架的强大能力(如服务端组件)往往伴随着更重的攻击面。​ 当我们将 UI 渲染的部分交由服务器完成时,前端工程师实际上也承担了后端安全的重任。

别等技术债变成安全债才追悔莫及。趁着周末,不妨花十分钟梳理一下公司的前端资产。打个补丁,配个防火墙规则,今晚才能睡个安稳觉。🛌

一些 React 项目中可能存在的安全隐患
GoldenaArcher的博客
10-14 2172
公司要求完成一系列的安全课程(Security),其中好有 React 相关的,就上完了这个课,并且发现了以前一些漏掉的问题,在此总结一下。
高危预警!React核心组件CVSS 9.8漏洞,数百万开发者面临远程代码执行风险
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-06 1186
React Native高危漏洞CVE-2025-11953光:全球开发环境面临远程代码执行风险。该漏洞存在于@react-native-community/cli-server-api组件中,CVSS评分9.8,影4.8.0至20.0.0-alpha.2版本,每周下载量超200万次。攻击者无需认证即可通过网络访问触发漏洞,可能控制开发设备、窃取代码。建议立即升级至20.0.0+版本或通过限制服务器访问权限进行应急缓解。JFrog强调需加强开发环境安全防护,建立长期依赖管理机制,包括定期审计、输入净化和
React“炸弹级”漏洞CVE-2025-55182),CVSS 10.0分!已有在野利用,企业如何紧急防御
NOVAnet2023的博客
12-09 822
CVE-2025-55182React 生态中罕见的高危漏洞,影范围广、利用简单,企业需高度重视。建议优先升级修复,并结合云WAF等防护手段构建纵深防御体系。
React重大安全漏洞服务器代码或被远程操控
feihanim的博客
12-05 1224
近期发现了一个严重的安全漏洞 CVE-2025-55182,影 React 19 及其相关框架(如 Next.js)。该漏洞允许攻击者通过不安全的反序列化在服务器上执行任意代码。Wiz 安全研究数据显示,39% 的云环境存在此漏洞。安全团队应立即升级 React 及相关依赖,以确保系统安全。
React 被爆 CVSS 评级 10 分的严重漏洞
IT_1024的博客
12-11 649
中存在一个严重的远程代码执行漏洞。该漏洞已被分配编号,CVSS 评级为——这意味着这是最高级别的危急漏洞,不需要任何身份验证,攻击者即可利用该漏洞服务器上执行任意代码。
提升 React 应用的安全性:从这几点入手
bluemoon_0的博客
02-15 904
提升 React 应用的安全性:从这几点入手
网络安全漏洞React 框架分析
anquan2233的博客
12-04 1769
昨日爆CVE-2025-55182,CVSS 10.0 满分严重漏洞,影 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
React CVSS 10.0 满分漏洞,你的应用可能在“裸奔”!
weixin_44829437的博客
12-04 1118
服务器端的 React 尝试处理这个请求时,它不会像预期那样报错或拒绝,而是被诱导执行了攻击者指定的代码。攻击者不说“保存数据”,而是发送了一段加密的指令,类似于“把家里大门的钥匙给我配一把”。它通常非常隐蔽,因为问题不在你的业务代码逻辑上,而是在底层框架如何理解和翻译数据上。的情况下,通过发送精心构造的恶意请求,直接在你的服务器上**执行任意代码 (RCE)**。:解码器在翻译这段指令的过程中,不知不觉地就真的执行了“配钥匙”的操作。核心实现中的严重漏洞被披露,其 CVSS 风险评分达到了罕见的。
紧急预警!React生态CVSS 9.8高危漏洞,200万周下载量组件面临远程代码执行风险
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-06 986
202511月,JFrog安全团队披露React Native高危漏洞CVE-2025-11953(CVSS 9.8)。该漏洞存在于核心组件@react-native-community/cli-server-api中,影4.8.0至20.0.0-alpha.2版本,允许攻击者通过未净化的/open-url端点执行远程代码,波及全球数百万开发者。漏洞利用门槛低,可导致源代码泄露、系统控制等风险。应急方案包括:1)临时限制服务器访问范围;2)升级至20.0.0+版本。团队还提供了自动化扫描脚本,支持批量检
React 有史以来最严重的一次核弹级安全漏洞,请速查!
weixin_44829437的博客
12-06 1066
服务器端的 React 尝试处理这个请求时,它不会像预期那样报错或拒绝,而是被诱导执行了攻击者指定的代码。(CVE-2025-55182),并援引专家观点称其为“万能钥匙” (Master Key) 级别的攻击——攻击者只需发送一个 HTTP 请求即可控制服务器,无需登录。攻击者不说“保存数据”,而是发送了一段加密的指令,类似于“把家里大门的钥匙给我配一把”。允许我们在服务器上渲染组件。(服务端函数)请求的方式上。的情况下,通过发送精心构造的恶意请求,直接在你的服务器上**执行任意代码 (RCE)**。
React Router和Remix中的CVE-2025-31137漏洞详解与修复指南
W11929311582的博客
04-18 941
CVE-2025-31137是一个影React Router(7.0.0到7.4.0版本)和Remix框架(2.11.1到2.16.2版本)中Express适配器的安全漏洞。该漏洞允许攻击者通过伪造HTTP请求头中的Host或字段,插入恶意的URL路径,从而操控请求的URL,导致未授权的重定向或访问敏感资源CVE-2025-31137是React Router和Remix Express适配器中的高危URL路径注入漏洞漏洞利用了Host和请求头中端口部分未校验的缺陷。
React RCE 漏洞扫描工具 (CVE-2025-55182)
最新发布
分享技术点滴
02-26 415
此工具可自动扫描您的项目,检查是否使用了存在**远程代码执行(RCE)**漏洞React、Next.js 及相关 RSC 包版本。攻击者可利用此漏洞在您的服务器上未经授权执行任意代码,风险极高。截至 2025 12 月,约有39% 的云环境仍在使用存在漏洞的 Next.jsReact 版本。如果您在使用 React 服务器组件,请立即采取行动。
深入探究 React 史上最大安全漏洞
2501_92872533的博客
12-06 1053
本文档深入分析了 React Flight 协议(React Server Actions 的底层协议)中的一个远程代码执行 (RCE) 漏洞。该利用链串联了三个关键漏洞引用解析中的未过滤路径遍历(可访问__proto__和伪造Chunk 注入 —— 将精心构造的对象伪装成内部 Chunk 对象处理。Function 构造函数注入—— 将方法替换为Function构造函数。
react-scripts:5.0.1漏洞解决
qq_42327090的博客
07-03 1977
本文主要记录在解决react-scripts5.0.1版本的安全漏洞的过程中,怎么排查,以及怎么解决的过程,以及记录了中间用到的npm 指令
核弹级,React满分漏洞
NewTyun的博客
12-04 985
React Server Components是 React 团队推的新一代服务端渲染方案,核心目标是在不牺牲客户端交互体验的前提下,最大化利用服务端能力,如直接访问数据库、避免敏感数据暴露,同时优化应用的性能、体积和加载速度。攻击者无需认证、无需登录、无需交互,仅需向公开服务器端点发送一个精心构造的POST 请求,即可在服务器上直接执行任意代码。Vite RSC 插件、Parcel RSC 插件、React Router RSC 预览版、RedwoodJS、Waku等。
【网络安全】 CVE-2025-55182React Server Components 远程代码执行漏洞
par@ish的博客
12-04 3032
摘要:React框架及其相关组件(包括Next.js等)高危漏洞CVE-2025-55182,CVSS评分为满分10.0。该漏洞允许未经认证的攻击者通过恶意HTTP请求实现远程代码执行,影React Server Components的多个版本。约39%的云环境可能受影,修复补丁已发布(19.0.1/19.1.2/19.2.1)。专家警告该漏洞极易被利用,建议立即升级。临时缓解措施包括限制/server-function端点访问和监控可疑请求。漏洞由安全研究员11月29日报告,12月3日公开披露。
React2Shell(CVE-2025-55182)漏洞服务器排查完整指南
斯黄人民的博客
12-08 1694
React2Shell(CVE-2025-55182) 是影 React 19 与 Next.js 的严重 RCE 漏洞,已被黑客自动化扫描利用。文章给依赖确认、环境隔离、系统取证、进程与网络排查、日志分析、Server Actions 与 RSC 检查等完整流程,并配合安全工具构建可落地的应急与加固方案。
React、Next.js 最高级别安全漏洞,尽快自查!
LuckyWinty的博客
12-10 193
如果你有线上项目跑在 React 19 或 Next.js App Router 上,请尽快完成升级。RSC 引入了一套新的序列化协议,而这次的漏洞让攻击者能伪造这个协议的消息。只要你的应用在线上暴露了相关接口,风险就是“默认存在”的。如果你在用 React 19 + RSC,或者用 Next.js 的 App Router,请立刻检查版本。RSC 在处理服务端请求时,需要把客户端发来的数据反序列化。本次问题就在这里——如果你的项目还停在 pages router,或者没有用到 RSC,本次风险较小。
第一个大冤种来了!修复React漏洞,导致Cloudflare全球宕机25分钟
weixin_44829437的博客
12-07 974
在 Cloudflare 老版本的代理程序(叫 FL1)中,有一个隐藏了多的 Bug。在 12 月 5 日的事故报告中,Cloudflare 坦承:"我们知道这些改进本可以帮助防止今天的事故,但遗憾的是,我们还没有完成部署。Cloudflare 在事故后不到 24 小时就发布了详细的技术报告,完整解释了问题的原因、影范围、时间线,甚至贴错的代码。比如这次的问题,如果用 Rust 这样的强类型语言,编译器在编译时就会发现"访问可能不存在的对象"这个错误,根本不会让代码运行。这个改动本身没问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值