2026-01-27 14:29:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CVE-2025-55182是React服务器组件中无需认证的远程代码执行漏洞，CVSS评分满分。攻击者可通过构造恶意数据包直接控制服务器，利用门槛极低。鉴于React及Next.js的广泛应用，该漏洞危害极大，被称为React2Shell，建议相关团队立即升级修复以防范风险。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,WEB安全

cover_image

React 服务器组件爆出“核弹级”漏洞：CVE-2025-55182 到底有多严重？

云梦DC 云梦DC

云梦安全

2026年1月27日 10:06 河南

如果你所在的团队正在使用 React 服务器组件（RSC），那这条漏洞信息，你必须认真看完。

2025 年底，一个编号为 CVE-2025-55182 的漏洞被公开，安全圈很快给它起了一个外号：

React2Shell

原因只有一个—— 它的危险等级，被认为不亚于当年的 Log4Shell。

#

一、先说结论：这是一个“无需登录的远程代码执行漏洞”

CVE-2025-55182 是一个发生在 React 服务器组件（React Server Components，RSC） 中的严重安全漏洞。

一句话说明白它的危险性：

攻击者不需要身份认证，只要发送特制的数据，就可能在服务器上执行任意代码。

也就是说，这不是前端问题，而是直接打到服务器执行层的问题。

正因如此，该漏洞的 CVSS 基础评分被评为 10.0（满分），属于安全体系中最高危的一类。

二、什么是 RSC？为什么这个功能本身就“天然敏感”

React Server Components（RSC）是 React 推出的一种全新架构思路。

它的核心目标很简单：

把一部分原本运行在浏览器里的组件
提前放到服务器端执行
减少前端 JS 体积，提升性能和体验

为此，React 引入了一套新的通信机制—— Flight 协议，用于在服务器与客户端之间传输组件状态和渲染结果。

从架构角度看，这是一次很有野心的尝试：

React 18 中以实验形态出现
React 19 开始大规模使用
Next.js 等主流框架全面接入

但问题也正出在这里——

一旦 UI 组件具备“服务器执行能力”，它的安全边界就不再只是前端。

三、漏洞是怎么被发现的？

CVE-2025-55182 的发现者，是澳大利亚安全研究员 Lachlan Davidson。

时间线非常清晰：

2025 年 11 月 29 日：私下向 React 团队报告漏洞
12 月初：React 官方确认并修复
12 月 3 日：漏洞公开，分配 CVE 编号

随后，Next.js 团队也发现自身存在类似问题，并发布了单独的安全公告。但最终确认：

Next.js 的问题，本质上仍然源自 React RSC 本身

因此相关 CVE 被合并，统一归入 CVE-2025-55182。

四、为什么这个漏洞会被评为 CVSS 10.0？

CVSS 满分并不常见，它通常意味着以下几个条件同时成立：

✔ 可远程攻击
✔ 无需身份认证
✔ 可直接执行代码
✔ 影响默认配置
✔ 几乎没有缓解空间

而 CVE-2025-55182 恰好全部命中。

在默认 RSC 场景下，攻击者只需构造恶意的 RSC 协议数据包，即可触发服务器端执行逻辑。

换句话说：

即使你什么“骚操作”都没做，只要启用了 RSC，就可能中招。

这也是为什么很多安全研究者直接将其类比为：

“JavaScript 世界的 Log4Shell”

五、“React2Shell”这个名字，并不是危言耸听

“React2Shell”这个名字，并非社区随意起的梗。

它的命名逻辑，与 Log4Shell 几乎一致：

Log4Shell：从日志系统 → 拿到 Shell
React2Shell：从 React → 拿到 Shell

“2” 代表 to，含义非常直观： 从 React，一步走到服务器控制权。

漏洞发现者甚至专门建立了网站，对该漏洞进行集中说明和澄清，避免开发者低估风险。

六、影响范围为什么会这么大？

原因只有一句话：

React 的生态太大了。

根据行业统计，超过 80% 的前端项目使用 React。而 RSC 又被 Next.js 等主流框架作为重点特性推广。

这意味着：

大量新项目默认开启
很多团队并未意识到其安全影响
一旦被利用，横向影响极快

更关键的是——

该漏洞的利用门槛极低。

一次 HTTP 请求，一个构造好的载荷，就足以触发攻击。

github：https://github.com/msanft/CVE-2025-55182

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云梦安全云梦DC 云梦DC《React 服务器组件爆出“核弹级”漏洞：CVE-2025-55182 到底有多严重？》