文章总结: 思科Talos披露React2Shell漏洞被大规模利用,超过700台Next.js服务器遭入侵,导致数据库凭证、SSH私钥等敏感数据被盗。攻击者利用CVE-2025-55182远程执行代码,建议立即升级Next.js、轮换所有密钥并检查系统异常。 综合评分: 93 文章分类: 漏洞分析,应急响应,威胁情报,WEB安全,安全建设
React2Shell漏洞被批量利用:超700台Next.js服务器凭证大规模失窃
看雪学苑 看雪学苑
看雪学苑
2026年4月3日 18:11 上海
近期,思科Talos团队披露一起大规模自动化凭证窃取事件。黑客组织UAT-10608利用编号CVE-2025-55182的远程代码执行漏洞(安全社区称React2Shell),对公网Next.js服务器进行批量扫描与入侵。目前已有超过700台服务器被确认失陷,攻击者通过自建的“NEXUS Listener”面板集中管理窃取到的敏感数据。
漏洞本质
CVE-2025-55182存在于React Server Components中,攻击者可构造特制HTTP请求,在无需认证、无需用户交互的情况下执行任意代码。由于输入校验不足,利用难度较低,因此被自动化工具大规模利用。
攻击流程
-
自动化扫描公网未修复漏洞的Next.js实例
-
通过React2Shell投递恶意脚本
-
脚本遍历文件系统、访问云元数据接口、扫描进程内存,提取数据库凭证、SSH私钥、AWS/Stripe/GitHub令牌等
-
将窃取数据加密回传至C2服务器
失窃规模
(基于NEXUS Listener 24小时数据)
-
766台主机被记录为失陷
-
>90%数据库凭证被盗
-
~80%SSH私钥被提取
-
大量主机同时失窃AWS密钥、Stripe活动密钥、GitHub访问令牌
可能后果
-
数据库直连导致用户数据批量泄露
-
SSH私钥用于内网横向移动
-
云凭证被用于接管云资源
-
GitHub令牌用于向合法仓库植入后门
处置建议
-
立即升级Next.js及相关依赖至修复版本(参考React/Next.js官方公告)
-
全量轮换数据库密码、SSH私钥、云平台Access Key、Stripe密钥、GitHub令牌
-
云环境启用IMDSv2,限制元数据服务访问
-
排查异常后台进程、crontab及systemd服务
请相关团队尽快自查并修复。
资讯来源:Cisco Talos – UAT-10608利用CVE-2025-55182(React2Shell)批量入侵Next.js服务器事件报告
﹀
﹀
﹀
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《React2Shell漏洞被批量利用:超700台Next.js服务器凭证大规模失窃》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论