CVE-2025–55182 (React2Shell) — 完全漏洞赏金猎取指南
CVE-2025–55182(昵称“React2Shell”)是一个关键的远程代码执行漏洞,CVSS评分为10.0,影响React服务端组件和Next.js应用程序。该漏洞由Lachlan Davidson发现,并于2025年12月3日披露。在披露后的几个小时内,中国国家关联威胁组织已在野外积极利用此漏洞。
关键事实:
- 严重性:关键 (CVSS 10.0)
- 攻击向量:网络
- 所需身份验证:无(未经身份验证的RCE)
- 用户交互:无
- 漏洞利用可靠性:接近100%的成功率
- 主动利用:已被Unit 42、AWS、Wiz和Datadog确认
- CISA KEV:已添加到已知被利用漏洞目录
免费阅读:这里
:magnifying_glass_tilted_left: 什么是 CVE-2025–55182?
CVE-2025–55182是React服务端组件(RSC)Flight协议实现中的一个不安全反序列化漏洞。它允许未经身份验证的攻击者通过制作恶意HTTP负载来利用原型污染和不安全的属性访问模式,从而在服务器上执行任意JavaScript代码。
CSD0tFqvECLokhw9aBeRqiy5saJ6+KLCtjnFEZZ3Se445eDFl/0O/fsuqs3PCv0XwjndOeZkTRaVPT1axKlC+JSs3zs1c158lvI7maqSAFq/sAzyadWzqVG28FAWPzrj+XHHSAyftS7GNwc1mCIZAg==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
