文章总结： CVE-2025-55182（React4Shell）是React服务端组件中的严重反序列化漏洞，允许远程代码执行。披露后迅速被武器化，攻击者利用其传播Mirai、XMRig挖矿程序及RondoDox僵尸网络，并窃取云凭据。建议立即更新React相关受影响组件，拦截含特定关键词的POST请求，扫描恶意软件并轮换凭据以缓解风险。 综合评分： 92 文章分类： 漏洞分析,威胁情报,恶意软件,WEB安全,漏洞预警

不久之后：CVE-2025-55182 漏洞便遭到恶意利用

卡巴斯基

卡巴斯基威胁情报

2025年12月24日 10:00 北京

2025年12月4日，研究人员公布了关于严重漏洞CVE-2025-55182的详细信息，该漏洞的CVSS评分高达10.0分。由于该漏洞影响使用React库构建的Web应用程序中的React服务端组件（React Server Components，简称RSC）功能，因此被非正式地命名为React4Shell。RSC通过在客户端和服务器之间分配任务来加速用户界面（UI）的渲染。该漏洞被归类为CWE-502（不可信数据反序列化漏洞）。利用此漏洞，攻击者能够以服务器进程权限执行命令，并读写Web应用程序可访问目录中的文件。  在漏洞利用信息公布后几乎立即，我们的蜜罐系统就开始记录到利用CVE-2025-55182漏洞的攻击尝试。本文将分析攻击模式、威胁行为者试图向易受攻击设备传播的恶意软件，并分享降低风险的建议。

漏洞简要技术分析

React应用程序基于组件模型构建。这意味着应用程序或框架的每个部分都应独立运行，并为其他组件提供清晰、简单的交互方法。尽管这种方法支持灵活开发和功能扩展，但可能会要求用户下载大量数据，从而导致不同设备上的性能表现不一致。这正是React服务端组件（RSC）旨在解决的问题。  该漏洞存在于RSC的服务器操作（Server Actions）组件中。攻击者只需向服务器发送一个包含待执行序列化数据负载的POST请求，即可访问到存在漏洞的函数。下图展示了处理程序中允许不安全反序列化的部分功能：

存在漏洞的函数（左）与已修复的函数（右）对比

卡巴斯基蜜罐系统捕获到的CVE-2025-55182漏洞攻击情况

由于该漏洞利用起来较为简单，攻击者迅速将其纳入自身攻击工具库。卡巴斯基蜜罐系统于12月5日首次记录到利用该漏洞的攻击尝试。到12月8日（周一），攻击尝试次数已大幅增加，且仍在持续上升。

按日统计的针对卡巴斯基蜜罐系统的CVE-2025-55182漏洞攻击次数

攻击者首先会对目标进行探测，以确认其并非蜜罐系统：他们会运行“whoami”命令，在bash中执行乘法运算，或者计算随机字符串的MD5或Base64哈希值，以此验证其代码能够在目标机器上执行。

在大多数情况下，攻击者随后会尝试使用wget或curl等命令行网络客户端下载恶意文件。此外，部分攻击者还会投放一个基于PowerShell的Windows有效载荷，该载荷会安装广受欢迎的门罗币（Monero）挖矿程序XMRig。

众多恶意软件活动迅速将CVE-2025-55182漏洞武器化，这些活动涵盖了从经典的Mirai/Gafgyt变种到加密货币挖矿程序，再到RondoDox僵尸网络等各类恶意软件。一旦系统被感染，RondoDox便会立即行动，其加载脚本会迅速着手清除竞争对手：

除了检查硬编码路径外，RondoDox还会禁用AppArmor和SELinux安全模块，并采用更为复杂的方法来查找并终止那些为伪装而移除了ELF文件的进程。

只有在完成上述步骤后，该脚本才会通过依次尝试三种不同的加载工具（即wget、curl 以及来自BusyBox的wget）来下载并执行主有效载荷。此外，它还会遍历针对不同CPU架构的18种恶意软件构建版本，从而能够同时感染物联网设备和标准的x86_64架构Linux服务器。

在某些攻击中，攻击者并未部署恶意软件，而是试图窃取Git和云环境的凭据。一旦攻击得逞，可能会导致云基础设施被攻破、软件供应链遭受攻击以及其他严重后果。

风险缓解措施

我们强烈建议通过应用相应模块和捆绑包开发人员发布的补丁来更新相关软件包。  存在漏洞的React服务端组件版本：  • react-server-dom-webpack（19.0.0、19.1.0、19.1.1、19.2.0）  • react-server-dom-parcel（19.0.0、19.1.0、19.1.1、19.2.0）  • react-server-dom-turbopack（19.0.0、19.1.0、19.1.1、19.2.0）  已确认使用React服务端组件的捆绑包和模块：  • next  • react-router  • waku  • @parcel/rsc  • @vitejs/plugin-rsc  • rwsdk

在部署补丁期间，为防止漏洞被利用，请考虑拦截所有参数或请求体中包含以下关键词的POST请求：

constructor

__proto__

prototype

vm#runInThisContext

vm#runInNewContext

child_process#execSync

child_process#execFileSync

child_process#spawnSync

module#_load

module#createRequire

fs#readFileSync

fs#writeFileSync

s#appendFileSync

结 论

由于CVE-2025-55182漏洞易于利用，且有效概念验证（PoC）代码已公开传播，威胁行为者已迅速开始利用该漏洞发起攻击。短期内，攻击活动极有可能持续增加。  我们建议立即将React更新至最新补丁版本，对存在漏洞的主机进行恶意软件扫描，并更改存储在这些主机上的所有凭据。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基《不久之后：CVE-2025-55182 漏洞便遭到恶意利用》