文章总结： CVE-2025-55182（React2Shell）是一个CVSS10.0满分的远程代码执行漏洞，影响React服务器组件19.0.0-19.2.0及Next.js多个版本，源于Flight协议反序列化缺陷可导致服务器端代码执行。开源扫描工具react2shell-scanner可用于检测，建议立即升级至安全版本。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,安全工具

CVSS 10.0 满分恐怖！React2Shell 漏洞爆发，全球数千万网站面临 RCE 威胁

原创

爱坤 爱坤

爱坤sec

2026年5月15日 02:30 重庆

在小说阅读器读本章

去阅读

一 漏洞描述

CVE-2025-55182 是一个严重的远程代码执行 (RCE) 漏洞，影响多个软件包中的 React 服务器组件 (RSC) 实现，其中包括：react-server-dom-webpackreact-server-dom-turbopackreact-server-dom-parcel

该漏洞源于RSC使用的内部Flight协议对有效载荷进行不安全的反序列化。当某些不受信任的输入通过HTTP请求流经React服务器组件时，可能会触发服务器端代码执行。

CVSS 评分 10.0

二 影响版本

React Server Components：19.0.0、19.1.0、19.1.1、19.2.0Next.js：15.0.0-15.0.4、15.1.0-15.1.8、15.2.0-15.2.5、15.3.0-15.3.5、15.4.0-15.4.7、16.0.0-16.0.6

三 搜索语法

app="NEXT.JS" || app="React.js"

四 影响范围

资产很广

五 工具获取

https://github.com/assetnote/react2shell-scanner

【严重声明】本文所涉及的工具、思路和操作手法仅用于本地安全测试以及教育目的，禁止将其用于非法入侵或对他人的系统进行攻击以及盈利，一切后果由操作者自行承担！！！下载后的24小时请删除。

更多精彩文章与工具分享 欢迎关注

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱坤sec 爱坤 爱坤《CVSS 10.0 满分恐怖！React2Shell 漏洞爆发，全球数千万网站面临 RCE 威胁》