文章总结： React2Shell漏洞(CVE-2025-55182)已被大规模利用，影响React服务器组件及Next.js等多个框架。该漏洞源于不安全的反序列化问题，允许攻击者注入恶意代码。自2025年12月3日公开以来，全球超过137,000个IP地址暴露于风险中，主要集中在美国。CISA已要求联邦机构在12月12日前修补此漏洞。攻击者已利用该漏洞部署加密货币矿工、僵尸网络恶意软件和其他恶意载荷，被比作Log4Shell级别的系统性风险。 综合评分： 86 文章分类： 漏洞分析,漏洞预警,WEB安全,网络安全,应用安全

行业资讯：React2Shell的利用升级为大规模全球攻击，迫使紧急缓解

君说安全

2025年12月16日 15:00 贵州

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“ React2Shell的利用升级为大规模全球攻击，迫使紧急缓解。”

大家好，我是Jun哥。

下文来自thehackernews，作者：Ravie Lakshmanan

美国网络安全和基础设施安全局（CISA）敦促联邦机构在2025年12月12日前修补近期的React2Shell漏洞，此前有广泛利用的报道。

该关键漏洞被追踪为CVE-2025-55182（CVSS评分：10.0），影响React服务器组件（RSC）飞行协议。

问题的根本原因是不安全的反序列化，允许攻击者注入恶意逻辑，服务器在特权上下文中执行该逻辑。

它还影响其他框架，包括 Next.js、Waku、Vite、React Router 和 RedwoodSDK。

“一个专门设计的HTTP请求就足够了。” Cloudflare威胁情报团队Cloudforce One表示，该漏洞没有身份验证要求、用户交互或权限提升。

“一旦成功，攻击者可以在受影响的服务器上执行任意且特权的JavaScript。”

自2025年12月3日公开披露以来，多个威胁行为者利用这一缺陷进行各种侦察行动，并传播各种恶意软件家族。

这一进展促使CISA上周五将其列入已知被利用漏洞目录，并给予联邦机构直到12月26日实施修复。

截止日期现已调整至2025年12月12日，该漏洞已显示事件的严重性。

云安全公司Wiz表示，他们观察到该漏洞出现了“迅速的机会主义利用浪潮”，绝大多数攻击针对面向互联网的Next.js 应用及其他运行在 Kubernetes 和托管云服务中的容器化工作负载。

Cloudflare也在追踪持续的利用活动，称威胁行为者利用全互联网扫描和资产发现平台进行搜索，以寻找运行React和Next.js应用的暴露系统。值得注意的是，一些侦察行动排除了中国IP地址空间。

该网络基础设施公司表示：“他们最高密度的探查对象包括台湾、新疆维吾尔、越南、日本和新西兰——这些地区常被地缘政治情报收集重点重点关联。”

据称，观察到的活动还针对政府（.gov）网站、学术研究机构和关键基础设施运营商，尽管更为有选择性。其中包括负责铀、稀有金属和核燃料进出口的国家机构。

以下是一些其他重要发现——

• 优先攻击高敏感技术目标，如企业密码管理器和安全保险库服务，目标很可能是实施供应链攻击

• 针对面向边缘的SSL VPN设备，其管理接口可能包含基于React的组件

• 早期的扫描和利用尝试来自此前与亚洲相关威胁集群相关的IP地址

在对蜜罐数据的分析中，卡巴斯基表示，2025年12月10日单日记录了超过35,000次利用尝试，攻击者首先通过运行whoami等命令来探查系统，随后又投放了加密货币矿工或像Mirai/Gafgyt变种和Rondox这样的僵尸网络恶意软件家族。

其他观察到的有效载荷包括Cobalt Strike信标、Sliver、快速反向代理（FRP）、名为哪吒的监控工具、一个Node.js载荷，可以收集敏感文件并将TruffleHog和Gitleaks武器化以收集机密，以及基于Go的后门，具备反向外壳、侦察和指挥控制（C2）能力。

与此同时，据VulnCheck估计，React2Shell已生成了140多个不同质量的实际概念验证漏洞，其中约一半存在故障、误导性或其他无法使用。其余的漏洞利用仓库包含逻辑，用于加载内存内网页壳（如哥斯拉）、扫描漏洞，甚至部署轻量级网络应用防火墙（WAF）以阻挡恶意负载。

安全研究员Rakesh Krishnan还发现了一个托管在“154.*.*.*”的开放目录。其中包含一个针对CVE-2025–55182的概念验证（PoC）漏洞利用脚本，以及另外两个文件.

• “dmains.txt”，其中包含35,423个域名列表
• “next_target.txt”，其中包含596个网址，包括Dia Browser、星巴克、保时捷和Lululemon等公司

评估显示，未识别的威胁行为者正在根据添加到第二个文件中的目标主动扫描互联网，过程中感染了数百页。

网络安全和网络保险公司联盟将React2Shell比作2021年的Log4Shell漏洞（CVE-2021-44228），称其为“系统性网络风险聚合事件”。

根据Shadowserver基金会的最新数据，截至2025年12月11日，已有超过137,200个暴露于互联网的IP地址运行着易受攻击的代码。

其中，超过88,900个实例位于美国，其次是德国（10,900个）、法国（5,500个）和印度（3,600个）。

全文完，喜欢请三连，这对我很重要！

-End-

免责声明：本文相关素材均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。****

★点赞，转发，设为星标★

与你一起分享网络安全职场故事

查看原文：《行业资讯：React2Shell的利用升级为大规模全球攻击，迫使紧急缓解》