近日,React团队披露了一个编号为CVE-2025-55182的关键安全漏洞,因其存在于React服务器组件(RSC)中,CVSS评分为最高分10.0。该漏洞源于React服务器组件所使用的“Flight”协议存在不安全的反序列化问题。攻击者无需认证即可通过向服务器函数端点发送特制的HTTP请求,在受影响的服务器上执行任意代码,从而完全控制系统。
此漏洞已被安全研究人员命名为“React2Shell”,且已有证据表明其正被在野利用,导致大量网络服务暴露于风险之中。
漏洞正遭活跃利用,攻击已迅速蔓延
根据亚马逊网络服务(AWS)安全团队的观察,在漏洞公开披露后的24小时内,已有多个威胁组织开始利用此漏洞发起攻击。攻击者的目标主要锁定在使用React服务器组件的云托管应用程序上。在成功获得初始访问权限后,攻击者通常会快速部署网页后门或木马程序以维持控制。
美国网络安全和基础设施安全局(CISA)已于12月5日将此漏洞列入其已知被利用漏洞目录,这进一步凸显了其严重性。同时,威胁情报公司GreyNoise也记录到针对其蜜罐的试探性攻击,这表明互联网上正在发生广泛的扫描和漏洞利用活动。
影响范围巨大,数百万服务面临风险
根据Censys的扫描数据,大约有215万个面向互联网的Web服务可能受到此漏洞影响。这个数字涵盖了所有运行React服务器组件及相关受影响框架的暴露服务。虽然这不意味着所有这些服务都运行着存在漏洞的版本,但考虑到这些框架(尤其是Node.js生态下的Next.js)的广泛流行,潜在的威胁范围依然十分巨大。
该漏洞具体影响19.0.0至19.2.0版本的React服务器组件包,包括 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。多个流行的Node.js框架依赖于这些软件包,因此同样受到影响:
- Next.js: 版本 14.3.0-canary.77 及以上
- React Router RSC 预览版
- Waku
- Vite RSC 插件
- Parcel RSC 插件
- RedwoodSDK
需要注意的是,纯客户端React应用(未使用服务器组件)不受影响。然而,只要应用程序集成了React服务器组件,即使没有显式地使用服务器函数端点,仍然存在风险。
修复建议与缓解措施
官方已发布安全更新以修复此漏洞。所有相关组织应紧急采取行动,将React升级至以下安全版本之一:19.0.1、19.1.2 或 19.2.1。
对于Next.js用户,请根据当前使用的主要版本,升级到对应的修复版本:
- Next.js 15.0.x -> 升级至 15.0.5
- Next.js 15.1.x -> 升级至 15.1.9
- Next.js 15.2.x -> 升级至 15.2.6
- Next.js 15.3.x -> 升级至 15.3.6
- Next.js 15.4.x -> 升级至 15.4.8
- Next.js 15.5.x -> 升级至 15.5.7
- Next.js 16.0.x -> 升级至 16.0.7
尽管包括Cloudflare和AWS在内的主流运维/DevOps与WAF服务商已部署了防护规则,但已有公开的概念验证(PoC)展示了可能的绕过技术。因此,应用官方补丁仍然是当前最可靠、最根本的缓解策略。鉴于该漏洞已被活跃利用、CVSS评分最高、且相关框架部署广泛,所有运行React服务器组件的团队都应将此修复工作视为最高优先级的紧急任务。
参考来源:
2.15M Web Services Running Next.js Exposed Over Internet, Active Exploitation Underway – Patch Now
https://cybersecuritynews.com/2-15m-web-services-running-next-js-exposed/ | 
发表于 3 天前
|
查看: 8|
回复: 0
