文章总结： 微软警告React服务器组件中的严重漏洞CVE-2025-55182(React2Shell)已被多个威胁组织广泛利用，导致数百台机器被入侵。该漏洞评分为10，允许未经身份验证的攻击者实现远程代码执行。攻击者正在部署各种恶意软件如Minocat隧道程序和KSwapDoor后门，主要目标是窃取云服务凭证。React已发布补丁，但随后又披露了其他缺陷。 综合评分： 86 文章分类： 漏洞分析,威胁情报,漏洞预警,WEB安全,应用安全

React2Shell攻击已广泛蔓延至多个领域

会杀毒的单反狗

军哥网络安全读报

2025年12月17日 09:00 湖北

导读

微软研究人员周一发布的一篇博客文章警告称，由于 React 服务器组件中的一个严重漏洞被利用，导致众多组织机构的“数百台机器”遭到入侵。

该漏洞编号为CVE-2025-55182，允许未经身份验证的攻击者通过对发送到 React 服务器函数端点的有效负载进行不安全的反序列化来实现远程代码执行。

React 是一个用于构建用户界面的 JavaScript 库。根据博客所述，React Server Components 是一个由框架、包和打包器组成的生态系统，它允许 React 19 应用程序在服务器端而不是浏览器端运行部分逻辑。

该漏洞名为 React2Shell，严重程度评分为 10，由于默认配置存在漏洞，因此被认为很容易被利用。

微软指出，该框架在企业环境中得到广泛应用，数万台设备在数千个使用 React 或基于 React 的应用程序的组织中运行。

谷歌威胁情报小组的研究人员周五在一篇博客文章中警告说，多个间谍组织和投机取巧的犯罪团伙已经将 React2Shell 列为攻击目标。

据 GTIG 称，一个名为 UNC6600 的间谍组织一直在利用该漏洞传播 Minocat 隧道程序，该程序可帮助攻击者与被入侵的系统保持秘密通信。

此外，还有两个威胁组织——UNC6588 和 UNC6603——被发现利用该漏洞在受害者系统中植入后门。

GTIG 研究人员还观察到疑似与伊朗有关联的人员利用了该漏洞，但他们没有提供有关该活动的更多细节。

与此同时，Palo Alto Networks 的研究人员发现一种名为 KSwapDoor 的新型后门正在被部署。KSwapDoor 是一款专业设计的远程访问工具。据研究人员称，该工具用于构建内部网状网络，使受感染的服务器能够相互通信。

微软表示，攻击者还被发现执行任意命令，包括在 React2Shell 攻击中向已知的 Cobalt Strike 服务器发送反向 shell 请求。他们还使用了包括 MeshAgent 在内的远程监控和管理工具来实现持久化。

云凭证盗窃

微软表示，此次攻击浪潮的目标是云服务凭证，包括 Azure 实例元数据服务端点、亚马逊网络服务、谷歌云平台和腾讯云的凭证。

该公司表示，漏洞利用活动最早于 12 月 5 日开始。安全研究员 Lachlan Davidson 于 11 月下旬通过 Meta Bug Bounty 计划向 React 报告了该漏洞。

React 在本月初针对原始缺陷发布了补丁，然而在上周晚些时候，又披露了其他缺陷，包括CVE-2025-55814和CVE-2025-67779。

微软官方博客：

《防御 React 服务器组件中的 CVE-2025-55182 (React2Shell) 漏洞》

Defending against the CVE-2025-55182 (React2Shell) vulnerability in React Server Components

谷歌威胁情报：

《多个攻击者利用 React2Shell 漏洞 (CVE-2025-55182)》

https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182

Palo Alto Unit42 威胁情报：

《React 服务器组件中的关键漏洞利用（12 月 12 日更新）》

https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/

新闻链接：

https://www.cybersecuritydive.com/news/react2shell-attacks-expand-multiple-sectors/808030/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《React2Shell攻击已广泛蔓延至多个领域》